Всем привет!
Щас пишу форму авторизации для mini-crm по следующей логике:
0. Смотрим, имеется-ли активная сессия у данного пользователя, и если нет, то.
1. Принимаю введенные логин и пароль(md5) из формы.
2. Если логин и пароль совпадают с БД, то.
3. Создаю сессию для данного пользователя.
И тут сразу-же возникает вопрос: можно подделать эту самую сессию, которую я заношу пользователю в момент успешной авторизации?
Можно конечно прикручивать сессию именно к определенному ip, а сам ip писать в БД, но это нужно иметь список ip, если чел заходит с разных устройств, а это геморр...
Если можно подделать сессию, то как в моем случае вообще оптимальнее 'предохраняться' с авторизацией?
подделать сессию нельзя в принципе, ибо она создается сервером автоматически.
можно перехватить идентификатор уже установленной сессии, но это совсем другая история.
И сразу еще вопрос. Если сессия создается на серваке, то как этот самый сервак понимает, что перед ним тот единственный юзер? Наверное можно как-то подсунуть ему 'нужную инфу' для успешной идентификации?
Mike Ro, угон печенек пользователя (идентификатор пишется в куки).
в особо тяжелых случаях идентификатор передается get-параметром (но я такого уже лет 10 как не видел).
