| Autor | Zpráva | ||
|---|---|---|---|
| ajajaj Profil |
Nějak zaboha nemůžu udržet session s vyplými cookies, nemáte někdo nápad jak na to? Ve starém e-shopu mi to fungovalo, ale zatím jsem neobjevil, jak jsem to dokázal...
|
||
| Joker Profil |
#2 · Zasláno: 14. 2. 2013, 09:20:13
ajajaj:
Závisí to na nastavení session.use_only_cookies, které je od php 5.3 z bezpečnostních důvodů ve výchozím stavu zapnuté. |
||
| juriad Profil |
#3 · Zasláno: 14. 2. 2013, 09:20:24
můžeš si PHPSESSID tahat skrz GETové parametry odkazů:
http://www.php.net/manual/en/session.idpassing.php |
||
| ajajaj Profil |
#4 · Zasláno: 14. 2. 2013, 09:35:15 · Upravil/a: ajajaj
tak z toho jsem jelen, běží mi to z jednoho serveru, každý web využívá svoje php.ini, které mají co se týče cookies a sessions stejné nastavení a na jednom to funguje a na druhém ne
a nemůže to mít něco společného s google analytics? že by to udržoval strejda google kvůli statistice? na starém webu mám měření a server automaticky nastartuje _SERVER["HTTP_COOKIE"], _REQUEST["PHPSESSID"], _COOKIE["PHPSESSID"] |
||
| Jan Tvrdík Profil |
#5 · Zasláno: 14. 2. 2013, 11:56:23
ajajaj:
Na co to potřebuješ? Předávat session identifikátor jinak než pomocí cookies je z hlediska bezpečnosti silně nedoporučované. |
||
| ajajaj Profil |
#6 · Zasláno: 14. 2. 2013, 12:11:15
slouží to k plnění košíku a odeslání objednávky, pak se smaže
|
||
| Jan Tvrdík Profil |
#7 · Zasláno: 14. 2. 2013, 12:22:08
ajajaj:
To chápu, ale proč nemůže použít cookies jako všichni ostatní? |
||
| ajajaj Profil |
#8 · Zasláno: 14. 2. 2013, 13:11:23
jasně že může, ale když je bude mít vypnuté, tak ztratím zákazníka kterej možná trpí paranoiou, ale sedí na milionu ;) a nechce se mi psát otravné hlášení typu: ajta krajta tady má někdo vypnutý cookies protože si myslí, že je chytrej... ale bez toho nám nenakoupí...
a taky to nechci řešit předáváním v url, ale asi nic jiného mi pro návštěvníky s vypnutými cookies nezbude |
||
| Jan Tvrdík Profil |
#9 · Zasláno: 14. 2. 2013, 14:43:52
ajajaj:
„ale když je bude mít vypnuté, tak ztratím zákazníka kterej možná trpí paranoiou, ale sedí na milionu“ Věř mi, že je lepší ztratit hloupého paranoidního zákazníka (chytrý by si všiml, že předáváš session id v url, což je výrazně nebezpečnější, a šel by pryč), než ztratit výrazně více zákazníků kvůli tomu, že ti někdo hackne eshop díky bezpečnostní zranitelnosti, kterou jsi ty úmyslně vytvořil. |
||
| ajajaj Profil |
#10 · Zasláno: 14. 2. 2013, 18:54:55
nechci se hádat, ale zákazník je prvořadý, zbytek tj. bezpečnost je mojím úkolem...
1) jediné co může někdo hacknout je obsah koše do té doby, než bude uložen jako objednávka, takže uvidí jen naházené položky, žádnou adresu a citlivé údaje, čímž toho útočník moc nezíská, ty jsou stejně v eshopu... 2) uložím do db sessid a jeho platnost, po uplynutí doby vše smažu 3) při ukládání obj. a adresy zákazníka vygeneruji nový sessid který mi to propojí, nikde v url ho neukážu a pak ho hned zruším, proběhne jen na straně serveru 4) zákazníkovi odešlu mail s linkem na náhled objednávky obsahujícím 16-32znakůklíč:16-32znakůheslo 5) všichni zákazníci chtějí hacknout můj eshop a žádného zákazníka nesmím ztratit ;) |
||
|
Časová prodleva: 13 let
|
|||
0