Přihlášení bez sessions

22. 11. 2009 23:52:19

Taková lamerská otázka - dá se nějak jednoduše vyřešit přihlašování uživatelů bez sessions, resp. cookies, nebo nikoliv? Měl bych tohle mít na e-shopu ošetřené, nebo prostě kdo zakáže cookies, má smůlu (protože přenášet sid v url je špatně)?

22. 11. 2009 23:52:19

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408285

maverickus

(7 hodnocení)

23. 11. 2009 05:50:35

teoreticky da, prakticky neda. Teoreticky bys musel bud v url ( GETem ) nebo formularovejma prvkama ( POSTem ) prenaset nejakej klic ( nemusi to bet nutne vzdycky sid ) nebo bys mohl udelat nejakej mega ulet, jako pred kazdou akci uzivaka posilat ajaxem request jestli je lognutej ci ne. Kazdopadne to neni jednoduche reseni. Prakticky, kdo by se s tim bastlil? Hlavne se to kvuli tem nula nula lama uzivakum nevyplati :)

V dnesni dobe, kdo si zakazuje v prohlizeci cookies a nebo javascript, tak je hnup. A nemuze pocitat s tim, ze mu neco bude chodit krom statickejch stranek :)

23. 11. 2009 05:50:35

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408284

ameeck

(8 hodnocení)

23. 11. 2009 07:08:20

Napsal meloun;401545
Taková lamerská otázka - dá se nějak jednoduše vyřešit přihlašování uživatelů bez sessions, resp. cookies, nebo nikoliv? Měl bych tohle mít na e-shopu ošetřené, nebo prostě kdo zakáže cookies, má smůlu (protože přenášet sid v url je špatně)?

Proč je přenášet SID špatně? Musíš ho akorát mít navázené nějakými parametry k sessionuživatele, aby se nedala jeho session snadno ukrást. (Vim, ta terminologie je trochu neobratna). Správně ošetřené SID můžeš bez obav přenášet v URL.

Pokud má uživatel cookies, tak máš pohodu, žádné SID být nemusí.

23. 11. 2009 07:08:20

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408283

Michal Zima

(6 hodnocení)

23. 11. 2009 08:41:18

Obecně se na to používá HTTP autentizace, ale zrovna v tomhle případě bych řekl, že to není vhodná varianta. ;)

23. 11. 2009 08:41:18

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408282

dracek

(26 hodnocení)

23. 11. 2009 09:08:59

vis vubec co je session a cookie? Pokud si nekdo zakaze cookie, tak ma proste smulu, ze mu nefunguje stale prihlaseni a dalsi veci, ktere si stranky ukladaji na strane klienta.

Kdezto session bezi na strane serveru a tudiz uzivatel nema sanci ovlivnit, jestli session funguje, nebo ne.

23. 11. 2009 09:08:59

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408281

maverickus

(7 hodnocení)

23. 11. 2009 09:12:09

lol, ono to je trosku jinak, ale to se podda :) Ja to nemyslim nijak zle, ale ty v tom mas trochu bordel :)

Napsal dracek;401642
vis vubec co je session a cookie? Pokud si nekdo zakaze cookie, tak ma proste smulu, ze mu nefunguje stale prihlaseni a dalsi veci, ktere si stranky ukladaji na strane klienta.
Kdezto session bezi na strane serveru a tudiz uzivatel nema sanci ovlivnit, jestli session funguje, nebo ne.

23. 11. 2009 09:12:09

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408280

palmic

23. 11. 2009 09:19:56

Tohle se resilo nekdy pred 10ti lety, dam ti dobrou radu. Hod to za hlavu a res radsi co novyho se naucit. Zivot je moc kratkej na to, abys resil jestli ma nejaky 1% lidi vypnuty cookies a jestli budes delat web tak, aby to fungovalo i tomu 1%..

23. 11. 2009 09:19:56

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408279

meloun

(5 hodnocení)

23. 11. 2009 10:34:11

Napsal dracek;401642
vis vubec co je session a cookie? Pokud si nekdo zakaze cookie, tak ma proste smulu, ze mu nefunguje stale prihlaseni a dalsi veci, ktere si stranky ukladaji na strane klienta.
Kdezto session bezi na strane serveru a tudiz uzivatel nema sanci ovlivnit, jestli session funguje, nebo ne.

Já si myslím, že vím, co to je :o) Když má zakázané cookies, neuloží server do prohlížeče session_id a pak nemá podle čeho porovnávat, zda je to právě ten uživatel, kterému bylo session_id vygenerováno, takže se musí udělat náhradní řešení, jako předávání "sledovacího" parametru v url...

Pokud je to jinak, tak se rád poučím, ale pak nevím, proč se tím vlastně zabývám, kdybych ani nevěděl, jak to funguje...

---------- Post was amended at 10:36 ----------

Napsal ameeck;401608
Proč je přenášet SID špatně? Musíš ho akorát mít navázené nějakými parametry k sessionuživatele, aby se nedala jeho session snadno ukrást. (Vim, ta terminologie je trochu neobratna). Správně ošetřené SID můžeš bez obav přenášet v URL.

Všude čtu, že je to nebezpečné :o) Každopádně ošetření tak, aby se nedala ukrást, je dobrá rada, díky moc!

Ale co je důležitější - má cenu se tím zabývat, nebo se podle rad ostatních mám na tohle minimum uživatelů vykašlat?

23. 11. 2009 10:34:11

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408278

Karel Kohout

(10 hodnocení)

23. 11. 2009 19:14:48

Vůbec zakázané cookies neřeš. Dneska není možné prakticky nic používat, pokud je máš vypnuté.

Alternativa je přenášet nějaký identifikátor třeba v URL (ve formulářích to nestačí, ne každá stránka je post), ale opravdu jde o zbytečnou práci.

Na bezpečnost nemá vůbec vliv, jakým způsobem přenášíš onen potřebný identifikátor.

23. 11. 2009 19:14:48

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408277

Martin Klíma

(13 hodnocení)

23. 11. 2009 20:21:07

No že by to nemělo na bezpečnost vliv.... Pokud budeš identifikátor přenášet v url, pomocí GET, tak hrozí celkem velké riziko zneužití. Někde bude projíždět historii a šup je přihlášen na stránce, žádná práce. Taky pokud tam bude MD5 hash, tak pomocí rainbow table může zlomit heslo toho člověka...

Určitě bych do url žádné takovéhle údaje nestrkal...

23. 11. 2009 20:21:07

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408276

meloun

(5 hodnocení)

24. 11. 2009 00:13:07

OK - vyřešeno - prostě to neřešit :o) Díky moc za všechny rady!

*LOCK*

24. 11. 2009 00:13:07

https://webtrh.cz/diskuse/prihlaseni-bez-sessions/#reply408275

Pro odpověď se přihlašte.

Přihlásit