Citat:
Originalno napisao ivanhoe
ovaj problem se elegantno resava ajaxom...samo osvezis sesiju svakih 15-20 minuta tako sto cimnes neku skriptu na serveru.. ne mora naravno XMLHttpRequest da se koristi, moze obicna slika kojoj se setuje novi src sa setTimeout...
|
Zaboravih na ovu foru. Čak ne mora ni Ajax, dovoljan je iframe sa meta refresh koji otvara blanko stranicu koja samo osveži sesiju i umre. Time nema JS zavisnosti.
Citat:
Originalno napisao ivanhoe
takodje za login je odlicna ideja da se generise novi session id kod svakog pristupa, pri cemu se pazi da jedan korisnik ne moze da ima 2 sesije otvorene istovremeno... napadac mora da uzme friski SID i da ga iskoristi pre korisnika da bi mogao da pristupi sajtu, ali onda korisnik dobije login formu i nakon sto se uloguje, napadac je opet izlogovan..
|
Ovo je dobra ideja. S ovim bih se mogao malo poigrati...
Citat:
Originalno napisao ivanhoe
sto se provere user-agenta tice, meni se to cini kao nepotreban trud...onaj ko moze da mazne SID, moze i da pogleda koji je user-agent u pitanju, a ionako ljudi masovno koriste IE pa nije tesko cak i pogoditi.. daleko korisnije bi bilo kad bi mogla da se proverava IP adresa, jer tu nema prevare...ali to je diskutabilno zbog ljudi/firmi koje koriste farme proxija, pa im se ip menja..
|
Zato rekoh "posoljeni" user agent. Npr, prilikom instalacije skripta napravi neki random string od X karaktera i to koristi kao prefiks za user agent, a u cookie čuva dadatni parametar koji je hash od tog random stringa + vrednost UA. Pošto skripta zna i jedno i drugo lako je da rekonstruiše hash i proveri da li se poklapa sa ovim u cookie-ju... Napadaču nedostaje random string, a ako hoće da bruteuje hash samo nek izvolu
Meni je zanimljiva vaijanta kod Raiffeisen ebankinga je što ti iskoči popup minut pre nego što ti sesija istekne i pita da li da je osveži (ova druga varijanta što je Blues predložio). Uglavnom beskorisno pošto to uradi uvek kada nisam za kompom