9
時遇到的問題,這可能不是解決的,如下:保護cookie和session
我有一個客戶是在7-8不同位置的大型組織1,500+用戶。該應用程序是一個基於Kohana v3.0框架構建的PHP應用程序。該組織位於ISP級別的代理過濾服務器後面。每個位置都有一個主要的公共IP地址,然後通過代理渠道到網絡。每個用戶都有一個僱主發佈的Mac或Windows工作站。
他們正在經歷的事情似乎是cookie碰撞。示例:一個用戶在其工作站上登錄,然後另一個用戶使用相同的操作系統和瀏覽器類型從相同的位置,不同的工作站登錄。第二個用戶通過接收與第一個用戶匹配的新生成的cookie(令牌)來接收第一個用戶的活動會話。這似乎只與'authautologin'cookie相關(當記住我的複選框在登錄屏幕上進行設置時),但我保持我的選項對代理緩存(我無法證明代理仍在緩存)。
由於網絡設置,服務器可以看到數百個用戶使用相同的用戶代理從相同的IP地址登錄。我最初的想法是,Kohana v3生成瀏覽器(用戶代理)獨有的cookie的方式對於這個真實世界的應用程序來說並不足夠。
有沒有人遇到過這樣的事情?在Cookie和會話生成中採取適當的行動是什麼?管理數據庫中的Cookie和活動會話會更好嗎?
Kohana的模塊:果凍-AUTH,果凍,和驗證
服務器:Apache/2.2.9(Debian的)的mod_fastcgi/2.4.6的mod_jk/1.2.26 PHP/5.2.6-1 + lenny8用了Suhosin貼片的mod_ssl/2.2.9的OpenSSL/0.9.8g
已知的瀏覽器:IE 8 & 9,火狐(OS和Win)和Safari(OS)
+1:仔細提問 - 有詳細的可用信息。做得好。 – 2011-12-19 16:15:28
我同意,但這不是代理的問題,將適用於任何使用自動登錄cookie的服務? – 2011-12-19 16:17:40
@皮卡一直是我上週的想法/沮喪。然後,在問他們的內部IT人員後,我瞭解到代理過濾器的目的是阻止像GMail,Facebook,Twitter等網站......所以我導致他們無法訪問網站之外的網站他們登錄的網絡。這個應用程序可能是唯一一個可以發佈網絡外的自動登錄cookie的應用程序。 – ixasilent 2011-12-19 16:29:28