Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, всё это время я имею в виду вариант с токеном, а в цитируемом комментарии — доступ к исходному запросу в сессии WebSocket'ов, т. к. установка соединения там начинается практически по HTTP. В этом исходном запросе и можно передать токен, либо как параметр в URL, либо в заголовках. Вопрос в том, чтобы перехватить эту информацию на сервере.

Вот HttpServer в Ratchet'е ещё видит запрос, судя по сигнатуре onOpen. Как вариант — дополнить этот класс, или сделать обёртку для WsServer.

Решение с SessionProvider, как понимаю, использует куки из основной, несокетной сессии, т. е. их надо брать и перекидывать JS-ом, поэтому не подходит.

Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, также замечу: причина, по которой я переформулировал часть комментария, упоминающую ссылку — насколько я понял, там приводится не готовое решение, а концепции (насколько вижу в исходниках, $conn (ConnectionInterface) не содержит, собственно, httpRequest, где можно посмотреть нужное. То есть нужно найти место в архитектуре Ratchet'а, в которое эту процедуру можно внедрить.

Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, примерно так. Я не профессиональный советчик в теме, но практика весьма распространённая. Обычно ещё делают ограничение на время использования токена, сохраняя в БД время его генерации или сразу время истечения. Если его пытаются использовать после времени истечения (время генерации + пару минут, например) — фейл.

Да, можно также записывать дополнительную информацию а-ля айпишник, теоретически иногда такая подробность проверки может мешать аутентифицировать валидного пользователя, но тут уже смотреть надо, кто и где будет использовать.

В идеале, выполнять проверку в момент соединения пользователя с сокет-сервером, и в зависимости от результата принимать или обрывать соединение.

Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, вот тут токен передаётся в URL/заголовках при соединении с сервером, и проверяется в обработчике onOpen.

Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, После проверки сообщения сокет-соединение маркируется на стороне сервера как принадлежащее пользователю Vasya. Тут возникает вопрос, можно ли в Ratchet проставить соединению такую маркировку, т. к. с данным инструментом я не знаком.

Как защитить PHPSESSID от кражи и оставить доступ к токену для "своего" JS? Верно ли я мыслю?

LeonidPokrovskiy, нет, я имею в виду, что аутентификационные вещи проводятся в первую очередь через https. Куки хранятся там же. Чтобы подтвердить личность пользователя, по сокетам чат-серверу (Vasya→ServiceBot) отправляется что-то типа "/auth Vasya ad851d41b324b22303223cb397297fc1" (насколько я понимаю, на верхнем уровне Ratchet оперирует сообщениями), где "/auth" — условная команда, "Vasya" — имя пользователя (или любой идентификатор), абракадабра — токен, полученный от сервера по https (а-ля https://chat-server.example.com/getTmpAuthToken/ , сервер по кукам понимает, кому даёт токен, и записывает у себя в БД, что с этой абракадаброй может аутентифицироваться по сокетам юзер Vasya в течение 10 минут).

Сделал бота чтобы он работал в беседе. Но он отвечает на абсолютно на любое сообщение. Что делать?

Используйте тег code, когда приводите текст программы, он добавит подсветку и сохранит отступы, которые так важны в Python.

Почему float переменные не равны?

Как вариант, в отладчике ограничение на длину выводимого числа (скажем, "не более 6 знаков после запятой"), и он округляет, а на самом деле числа не равны. Для проверки гипотезы можно выводить их в консоль или в файл в полную длину, и сравнить глазами. Вещественные числа в программировании, насколько мне известно — тот случай, когда чаще имеет смысл не сравнивать числа строго, а принять некоторую малую величину, и если разница двух чисел меньше этой величины — считать их равными.

Почему '\n' в python не переносит на следующюю строку?

Вам следует привести текст задания (что вам нужно получить); если оно небольшое, то и код решения, желаемый и фактический результат. Мне кажется, в задании что-то типа "перебрать список из учеников и оценок, вывести номер в списке, фамилию и оценки, по строке на ученика". В этом случае номера и \n вообще не должны присутствовать в исходных данных, а подставляются в месте вывода на экран.

Как правильно изменить права доступа используя ftp php?

Узаир Ижа, Что ж, уступаю дорогу более опытным советчикам. Хотя, мне кажется, они захотели бы увидеть и код, относящийся к данной проблеме. Успехов.

Как правильно изменить права доступа используя ftp php?

Узаир Ижа, Имеется в виду не локально на серваке, а по FTP с тем же доступом, что в PHP-скрипте, но другим клиентом (чтобы отсеять проблемы с FTP-сервером).

Как вызываете ftp_chmod()

Разрешения указываете буквально числом 0755?

Опять же, чтобы отсеять очевидные ошибки. Типа неверного формата, операций на закрытом хендле, не того имени файла и т. п.

Как правильно изменить права доступа используя ftp php?

Как вызываете ftp_chmod() и что она возвращает? Не через php с теми же доступами разрешения получается поменять?

Почему переноситься на следующую строку?

namee, так получилось.

Как перенаправить сайт с домена на поддомен, чтобы при редиректе главный домен показывал статус 200?

wisgest, я за логичное использование статус-кодов >:|
Но да, справедливо. Обновил.

Неполучется вытащить данные из json ответа?

У меня буквально этот код вернул JSON с ошибкой,

{"Error":null,"ErrorCode":0,"Guid":"","Id":0,"Success":false,"Value":null}

который парсится в нечто с типом <type 'dict'>.
Что из этого является неожиданным?

Пустая панель меню на линукс после обновления?

Это было именно обновление, или установка чего-то, возможно, с изменением источника пакетов? В последнем случае нужно определить, с какого места началось отклонение от "истинного пути", составить перечень совершённых действий и попробовать последовательно их откатить. Тут могут логи apt/dpkg/… помочь.

В качестве теста можно попробовать создать нового пользователя, зайти под ним и посмотреть, не появились ли панели и прочее. Это покажет, попортились ли какие-то конфиги в папке пользователя, или это более системное.

MySQL Command Line закрывается?

Если "MySQL Command Line" — это mysql.exe, то можно вначале запустить виндовую командную строку (cmd.exe), потом в ней вызвать mysql.exe (видимо, с дополнительными параметрами, которые указаны в ярлыке), и, предположительно, в случае ошибки можно будет увидеть сообщение об ошибке самого клиента.

Виртуальные папки в Linux возможно ли такое?

Saboteur, мы же не хотим предложить ТС стать файловой системой и ограничить себя папками . и ..
или хакать ядро...

Виртуальные папки в Linux возможно ли такое?

Nikname_non_name, нужно учитывать, что папки монтируются с родными разрешениями. Т. е. в данном случае решаемая биндом задача — систематизирование. Если для ограничения доступа хватает стандартного функционала файловых разрешений — то должно быть ок.

Нужна помощь в создании скрипта?

.val()? jQuery?