ugrás a tartalomhoz

Visszatérő felhasználó azonosítása

Dualon · 2005. Ápr. 3. (V), 19.31
Sziasztok!

Mi a legbiztonságosabb módja annak, hogy egy visszatérő látogatót azonosítsak?

Konkrétan automatikus beléptetésről lenne szó, azt szeretném, ha a látogatóknak nem kellene minden látogatáskor beírni azonosítójuk és jelszavuk.

A gondom az, hogy amíg el nem indítom a user saját session-jét (ip címmel, stb.), addig az egyetlen kapocs közte és a lap közt egy cookie. Ebben a felhasználó azonosítóját, illetve néhány adatból képzett checksum-ot tárolok, de ez igazából lényegtelen, mert ha valaki lenyúlja a cookie-t, onnantól kezdve gyakorlatilag belépett a user helyett.

Mit gondoltok a fenti megoldásról? Ha rossz, mi a jó változat?
Előre is kösz!
‹ imap függvényt futtató szerver kerestetik no-cache ›
 
1

csak ötletek vannak

toxin · 2005. Ápr. 3. (V), 20.59
csak ötletek vannak megoldás ???
http://www.prog.hu/tudastar/?kbid=9151&ec=8
2

Bíztató ^^

Dualon · 2005. Ápr. 3. (V), 21.40
Kösz a választ, átolvastam (a kapcsolódó cuccokat is). Igazából nem volt jobb megoldás, úgyhogy továbbra is várom a javaslatokat!
3

munkamenet

Hojtsy Gábor · 2005. Ápr. 3. (V), 23.01
Mi a gond a PHP munkameneteivel?
4

Két malomban őrlünk?

Dualon · 2005. Ápr. 4. (H), 00.47
Vagy félreértettél, vagy nem értem, mire gondolsz.

A hangsúly első esetben nem a munkameneten van, hanem azon, hogy odáig hogy jutunk el. Mielőtt bármiféle munkamenet szóba jönne, honnan tudom, hogy egy regisztrált, korábban már belépett felhasználóról van szó, aki visszatért mondjuk három nap után, és akit szeretnék megkímélni attól, hogy újra be kelljen lépnie?

Másik esetben pedig megtisztelnél, ha kifejtenéd!

Amúgy cookie-k boncolgatásával, meg a Firefox LiveHttpHeader kiterjesztésével nézegettem, mi történik más lapoknál, de igazából mindenhol a cookie-ban rögzített felhasználói azonosító változatait játsszák. Ráadásul abban sem vagyok biztos, hogy mindenhol jól. ,)
5

a munkamenet a sütivel kezdődik

Hojtsy Gábor · 2005. Ápr. 4. (H), 10.31
A munkamenet eltesz a felhasználónál egy sütit, hogy azt visszatérésekor küldje vissza. A süti tartalma nem hordoz semmi személyeset, az egy véletlenszerű, nagyon nagy szám hexa (16-os számrendszerbeli) formában felírva. A többi adat ehhez kötve tárolódik a szerveren fájlban, adatbázisban, akárhogy.
6

Leesett...

Dualon · 2005. Ápr. 5. (K), 00.18
Nos, igen. :) Nagyon köszönöm a válaszod, a session-ös megoldás rendkívül elegáns, úgyhogy be is vezettem. Még egy kis tesztelést igényel a dolog, de úgy tűnik, hogy működik. Még sose küldtem félszáz napra szóló session cookie-t. :)

Ha már itt tartunk, megkérdezem: érdemes biztonságos kapcsolatot nyitni, és azon át közlekedtetni a session cookie-t? Nem üzleti jellegű lapról van szó, és személy szerint úgy gondolom, nem éri meg a fáradtságot, de örömmel fogadnám a témában a meglátásokat.
7

Mégsem megy

Dualon · 2005. Ápr. 5. (K), 14.52
Mégsem megy a dolog, és nem jövök rá, miért.

<?php
session_start();

if ( isset($_REQUEST['a']) ) {
    session_set_cookie_params(86400*50);
    $_SESSION['longsesi'] = 'hosszú session OK';
}

echo isset($_SESSION['longsesi']) ? $_SESSION['longsesi'] : 'nincs hosszú session';
?>
Ez a kód. Meghívom, nincs session, utána paraméterrel hívom, van session, böngésző bezár, megint megnyit, session sehol.
Próbáltam azt is, hogy a session_start()-ot a session_set_cookie_params() után hívom (és a feltételes blokkon kívül _is_), de akkor sem jó.
Az ini_set()-tel próbáltam manipulálni a session.cookie_lifetime-ot is, session.gc_maxlifetime-ot is, de semmi haszna. :(

Tudna valaki javaslattal szolgálni? Előre is köszönöm!
8

Elhalt a téma...

Dualon · 2005. Ápr. 6. (Sze), 11.13
Semmi ötlet? Sajnos én is így állok.