ایجاد سسشن آی دی بصورت دستی

phpweb · 2011/10/13 07:54 PM

من توی پروژه هایی که خودم می نوشتم، سسشن ها رو توی دیتابیس ذخیره می کردم. زمان حفظ سسشن ها رو 15 دقیقه تعیین می کردم و رشته هش رو هم خودم می ساختم.

الان می خوام توی کیک همین کار رو بکنم اما نمی دونم چطور باید سسشن آی دی رو تولید کنم.

در حالت عادی سسشن آی دی، همون PHPSESSID هست اما من برای امنیت بیشتر سسشن آی دی رو خودم تولید می کنم. برای تولید سسشن آی دی کوکی PHPSESSID رو به همراه، ای پی کاربر، رشته USER_AGENT و یه رشته salt به تابع sha1 می دم و سسشن آی دی رو تولید می کنم.

لطفا بگید که توی کیک چطور باید این کار رو انجام بدم؟

***saleh*** · 2011/10/14 12:49 AM

درود بر شما

اول بگم روش که برای تولید سسشن استفاده می کنید. به نظر من کار زیادی و اضافه هست. همین که تو دیتابیس نگه داری میکنید. کفایت میکنه.

اما در کیک شما می تونید. در core.php تنظیم کنید که سشن ها به چه روشی ایجاد شوند. و در کجا ذخیره شوند.
در آخر اگر باز می خواهید روش خودتون رو پیاده سازی کنید. باید کلاس cakeSession رو overwrite کنید و کلاس خودتون رو جایگزین کنید.

در آخر من پیشنهاد نمیدم که این کار رو مخصوصا در کیک 1.3 انجام بدید.منظور اوررایت کردن کلاس سششن هست. خود کیک به راحتی سشن رو در دییتابیس هندل میکنه و از نظر امنیتی هم تا الان هیچ مکشلی نبوده.

یکی از دلایل استفاده از فریم روک ها همین هست. که افراد زیادی با هدف های متفاوت از یک فریم ورک استفاده می کنند. پس اگر مورد امنیتی باشه خیلی زود مشخص میشه و رفع میشه. مثلا مشکل CSRF protection که در نسخه 2 اضافه شد

phpweb · 2011/10/14 01:29 AM

نقل قول:خود کیک به راحتی سشن رو در دییتابیس هندل میکنه و از نظر امنیتی هم تا الان هیچ مکشلی نبوده.

از اونجاکه سسشن ها توی دیتابیس ذخیره می شن من از این نظر نگرانی ندارم اما برای امنیت سسشن آی دی نگران هستم. اگر فقط به کوکی PHPSESSID بسنده کنیم، خب هکر به راحتی می تونه این کوکی رو بدزده و بجای مدیر لاگین کنه.

اما اگر سسشن آی دی رو به روشی که گفتم ایجاد کنیم، حتی اگر هکر بتونه کوکی PHPSESSID رو بدزده، ای پی و USER_AGENT مرورگر رو تقلید کنه باز هم نمی تونه بجای مدیر لاگین کنه کنه چون باید Salt رو هم داشته باشه.

در کل من برای ایجاد امنیت توی سیستمهایی که خودم می نوشتم چنین روش سخت گیرانه ای بکار می بردم.

توی منوال در مورد نحوه ایجاد سسشن آی دی توضیح نداده و من نمی دونم که آیا فقط به کوکی PHPSESSID بسنده می شه یا نه. شما در این مورد اطلاعی ندارید؟

***saleh*** · 2011/10/14 02:17 AM

همینطور که توضیح دادم. اصلا جای نگرانی نیست.

کیک تا اونجا که من می دونم اصلا روی کوکی کار نمی کنه و فقط از سششن بهره میگیره برای موارد که لازم هست مثل اهراز هویت.

بعد در همون فایل core.php درجه امنیت لایف تایم سششن ها رو می تونید. تنظیم کنید. اگر شما روی high بزارید. و لاگین کنیدو بعد دوتا پیج رو در تو تب باز کنید. تب اول رو رفرش کنید. به شما میگه باید مجدد لاگین کنید. حتی اگر یک پیج رو چندین بار رفرش کنید. باز هم همین اتفاق میوفته.

از نظر امنیت واقعا حرف نداره. به طوری که من روی یک نمونه کارهام میخواستم شل آپلود کنم. شل آپلود شد. اما نتونستم اجراش کنم. به هیچ عنوان.

phpweb · 2011/10/14 02:49 AM

نقل قول:از نظر امنیت واقعا حرف نداره. به طوری که من روی یک نمونه کارهام میخواستم شل آپلود کنم. شل آپلود شد. اما نتونستم اجراش کنم. به هیچ عنوان.

من روی پروژه های خودم خیلی روی امنیت کار می کردم اما وقتی به رباتها، اسپمر ها و ... رسیدم می دیدم که اطلاعاتم خیلی کم هست. به همین دلیل تصمیم گرفتم از کیک استفاده کنم.

ایا کیک می تونه جلوی رباتها، اسپمرها و بقیه ابزارها و روشهای هک رو هم بگیره که خیال من از نظر امنیت راحت باشه؟ البته منظورم ایجاد امنیت 100درصد نیست ولی خیلی از روشهای هک برای من ناشناخته هستن و باید این وظیفه رو به گردن فریم ورک بندازم.

***saleh*** · 2011/10/14 08:06 PM

دوست عزیز واسه چندمین بار خدمتتون عرض می کنم. که جای نگرانی وجود نداره. فقط باید نکاتی که در کتابچه ذکر شده که بیشتر در کامپوننت secrity هست رو رعایت کنید. هیچ مشکلی ایجاد نخواهد شد..مگر خودتون گاف بدید.

فقط یک سوال روبات ها و اسپمر ها رو با هک چه طور در کنار هم قرار دادید که این سوال رو پرسیدید.!!!

کیک یک ابزار نه فایر وال، یک سری ابزار داره که کنترل خوبی رو به شما میده. حالا شما چه طور استفاده کنید. این به کیک مربوط نمیشه. تشخیص روبات ، اسپمر کار یک فریم ورک نیست. البته پلاگین های زیادی نوشته شده. اما خود کیک هیچ وظیفه ای در این قبال ندارد

phpweb · 2011/10/14 08:36 PM

(2011/10/14 08:06 PM)saleh نوشته است: دوست عزیز واسه چندمین بار خدمتتون عرض می کنم. که جای نگرانی وجود نداره. فقط باید نکاتی که در کتابچه ذکر شده که بیشتر در کامپوننت secrity هست رو رعایت کنید. هیچ مشکلی ایجاد نخواهد شد..مگر خودتون گاف بدید.

فقط یک سوال روبات ها و اسپمر ها رو با هک چه طور در کنار هم قرار دادید که این سوال رو پرسیدید.!!!

کیک یک ابزار نه فایر وال، یک سری ابزار داره که کنترل خوبی رو به شما میده. حالا شما چه طور استفاده کنید. این به کیک مربوط نمیشه. تشخیص روبات ، اسپمر کار یک فریم ورک نیست. البته پلاگین های زیادی نوشته شده. اما خود کیک هیچ وظیفه ای در این قبال ندارد

البته رباتها وب سایت رو هک نمی کنن اما می تونن سایت رو از پا در بیارن.

اگر پلاگین داشته باشه که عالیه و خیلی از مشکلات من رو حل می کنه.

حالت موضوعی \| حالت خطی ایجاد سسشن آی دی بصورت دستی
نویسنده	پیام