阻止用户在Rails中共享会话Cookie的最佳方式是什么?在Rails中阻止恶意用户之间的会话共享
我想我有一个很好的办法做到这一点,但我想通过堆栈溢出人群来运行它,看看是否有先简单的方法。
基本上我想如果有人试图与他人分享付费会员来检测。用户在登录时已经从多个不同的子网登录过,但有人试图通过共享会话cookie来解决这个问题。没有将会话绑定到IP(许多合法人员使用旋转代理),做到这一点的最佳方式是什么。
我发现最好的启发是B类子网/时间的#(某些ISP使用旋转代理不同的CS类)。这对我们产生了最少的误报,所以我想坚持这种方法。
现在我正在考虑为每个请求应用一个before过滤器,以便跟踪用户在memcached中使用的哪个Subnets和session_ids,并将启发式应用于该过程以确定Cookie是否被共享。
任何更简单/更容易实现的想法?任何现有的插件,这样做?我能想到的
Ron, 感谢您的回应,我选择了您的Jesse's,因为我担心他的方法中可能的竞争条件。不幸的是,我已经实现了一个基于子网的方法,但如果有任何问题,这是列表中的下一个。 – 2009-08-22 14:33:56
很高兴它适合你。出于好奇,你会彻底禁止你怀疑的人,还是以某种类似于我所建议的方式警告他们? – 2009-08-22 16:46:08