PDA

View Full Version : ورود چند کاربر با یک آی دی بصورت تقریبا همزمان و جلوگیری از این کار



musiox
سه شنبه 01 خرداد 1386, 05:15 صبح
سلام . من وقتی داشتم کلمه امنیت رو تو این تالار سرچ می کردم , کلا 11 تا مورد برای نمایش داشت که در مورد امنیت بود . به نظر من این تعداد خیلی کمه به همین دلیل با ایجاد این تاپیک می خوام یه بحثی رو رابطه با امنیت راه بندازم به چند دلیل . اول اینکه بتونم پروژه خودمو امنترش کنم . دوم اینکه اگه بشه یه نتیجه گیری از این بحث کرد و یک کلاس امنیت ساخت . سوم اینکه یه چیزی یاد بگیریم .

بحث اول من در مورد امنیت :

1 .ورود چند کاربر با یک آی دی بصورت تقریبا همزمان و جلوگیری از این کار .

خوشحال می شم تو این بحث شرکت کنین .

cybercoder
چهارشنبه 02 خرداد 1386, 12:11 عصر
ورود چند کاربر با یک آی دی بصورت تقریبا همزمان و جلوگیری از این کار .

در هربار ورود از جدولی که برای ذخیره Session ها استفاده می کنی کاربر رو Delete کن و LoginTime ها رو با هم تطابق بده در این صورت اولین کسی که وارد شده می تونه مدیریت کنه. اما معمولا اگه چند نفر با یک UserName برن اشکالی ایجاد نمی شه در صورتی که Transaction هایی که هرکدوم در حال انجام شدنه قفل بشه و دیگری نتونه انجام بده.

موفق باشی

musiox
پنج شنبه 03 خرداد 1386, 20:18 عصر
ممنونم . ولی اینطوری این آیدی برای مدتی که ما تعیین کردیم قفل میشه و شاید به خاطره مشکلی که براش پیش میاد بخواد که از کامپیوتر دیگه ای وارد بشه اینجاست که باید برای مدتی صبر کنه و اگه کارش فوری باشه به مشکل بر می خوره .
البته درسته که این مشکل یه کم دور از ذهنه که چند کاربر به صورت همزمان با یه آی دی وارد بشن ولی خوب باید تا جایی که جا داره جلوی باگا رو گرفت .
در ضمن شاید بشه این مشکلو با یه کلمه عبور دومی حل کرد .

ealvandi
پنج شنبه 03 خرداد 1386, 21:21 عصر
در ضمن شاید بشه این مشکلو با یه کلمه عبور دومی حل کرد .


به نظر من اصلا کار منطقی نیست.

tabib_m
پنج شنبه 03 خرداد 1386, 21:49 عصر
فکر کنم اگر کاربری که دیرتر وارد شده باشه رو نگه داشت بهتر باشه...

یعنی اگر من مثلا با کامپیوتر a وارد شدم ، حالا مثلا کامپیوترم قفل کرده ، میرم سراغ کامپیوتر b و با اون لوگین میکنم ، به صورت اتوماتیک ، کامپوتر a ، لوگاف بشه.
(مانند مسنجرهایی از قبیل یاهومسنجر)

که در هر حال، با همون ایده ی آرمین میتونه انجام بشه.
----
حالا به طور کلی ، چرا باید از این مسئله جلوگیری بشه؟ منظورم اینه که اثرش توی امنیت چیه، نه از جوانب دیگه.

موفق باشید.

musiox
جمعه 04 خرداد 1386, 09:17 صبح
منظور من مثله یه سوال و جوابیه که یاهو برای وقتی که پسوردو فراموش میکنی گذاشته. تنها فرقش اینه که ای سوال جواب اینجا هم بدرد بخوره . یعنی کاربر وارد میشه ، سیستم میبینه که آیا در جدول لاگین شده ها یوزرنیم کاربر ثبت شده یا نه . اگه ثبت بود میاد مدت زمانی رو که از لاگ این شدن قبلیش میگذره محاسبه می کنه ( البته از آخرین فعالیتش تو سایت ) بعد اگه که مجاز نبود از کاربر همون سوال جواب رو می کنه .

oxygenws
جمعه 04 خرداد 1386, 13:17 عصر
زمانی که کاربر از سیستم a لاگین سیستم میشه... یک کوکی توسط سشن براش ارسال میشه...

حالا کاربر میره روی سیستم b (که لاگین نبوده) و لاگین می کنه... اینجاست که ما چک می کنیم که اگر توی سشن ها، نام کاربری این کاربر لاگین شده، سشن مربوط به ایشون رو حذف می کنیم و سشن جدید (با id جدید) رو می سازیم و لاگینش می کنیم...

الان سشن نفر قبلی اکسپایر شده و دیگه لاگین نیست، چون انگار id تغییر کرده.

مسلما این سیستم رو به راحتی نمی تونید با سشن منیجمنت خود php بسازید، چون نمی تونید بر اساس نام کاربر هایی که لاگین کردند کوئری بگیرید.

موفق باشید.

! Masih !
جمعه 04 خرداد 1386, 16:27 عصر
مطلاب این بخش جالب بودن ممنون

musiox
پنج شنبه 10 خرداد 1386, 22:04 عصر
این بحث مهم ها!!!!!!!!!!!!!!!!!!!
یه کم روش نظر بدین . اگه کوکی براوزر کاربر دیسیبل ( disable ) باشه مجبوریم سشن آیدی رو به آدرس بچسبونیم . بعد اگه یه کاربر دیگه این رو بدست بیاره به راحتی می تونه بیاد هر کاری که دوست داره انجام بده .

arash_hemmat
یک شنبه 13 خرداد 1386, 10:18 صبح
اگه کوکی براوزر کاربر دیسیبل ( disable ) باشه مجبوریم سشن آیدی رو به آدرس بچسبونیم .
اگه disable بود بهش میگیم که enable کنه! مجبور نیستیم که با همچین کار احمقانه ای سایتمون رو به خطر بندازیم. این رو میتونین با disable کردن cookie در browser و رفتن به چند سایت معتبر تست کنید و خواهید دید که بدون cookie نمیزارن login بشید.

cybercoder
یک شنبه 13 خرداد 1386, 17:39 عصر
با همچین کار احمقانه ای سایتمون رو به خطر بندازیم.

فکر نمی کنم اینجا جای استفاده از این الفاظ باشه


این رو میتونین با disable کردن cookie در browser و رفتن به چند سایت معتبر تست کنید و خواهید دید که بدون cookie نمیزارن login بشید.

سایت های بزرگ رو هم یه برنامه نویسی مثل من و شما نوشته. در ضمن من که با سایت هایی که بدون Cookie نمی ذارن Login کنید اصلا حال نمی کنم.

armin390
یک شنبه 13 خرداد 1386, 18:18 عصر
سایت های بزرگ رو هم یه برنامه نویسی مثل من و شما نوشته. در ضمن من که با سایت هایی که بدون Cookie نمی ذارن Login کنید اصلا حال نمی کنم.کلاً وقتی session id رو تو url قرار میدن مشکلات خاص خودش ایجاد میشه و این معقوله که اینگونه وب سایت ها اجازه ی لاگین ندن...

musiox
دوشنبه 14 خرداد 1386, 05:21 صبح
الان همین سایت . یه نگاه بهش بندازین متوجه میشین .

armin390
دوشنبه 14 خرداد 1386, 08:52 صبح
الان همین سایت . یه نگاه بهش بندازین متوجه میشین .کسی نگفت نمیشه!!!!

کلاً وقتی session id رو تو url قرار میدن مشکلات خاص خودش ایجاد میشه و این معقوله که اینگونه وب سایت ها اجازه ی لاگین ندن...

musiox
دوشنبه 14 خرداد 1386, 14:08 عصر
کسی نگفت نمیشه!!!!
خب مگه من گفتم نمی شه .

اگه disable بود بهش میگیم که enable کنه! مجبور نیستیم که با همچین کار احمقانه ای سایتمون رو به خطر بندازیم. این رو میتونین با disable کردن cookie در browser و رفتن به چند سایت معتبر تست کنید و خواهید دید که بدون cookie نمیزارن login بشید.
مگه این سایت ( vBulletin ) کوچیکه که بدون کوکی هم میزاره وارد بشی.
به نظر من کار درستی نیست . چون همه کاربرا که از همه چیزه کامپیوتر سر در میارن . آره اگه کاربر رو بهش بفهمونی کوکی چیه و چرا و.... منم موافق اجازه ورود ندادن هستم . ولی این طوری نمی شه که هر جا که کم آوردم بگم مشکله کاربره نه من .