时遇到的问题,这可能不是解决的,如下:保护cookie和session
我有一个客户是在7-8不同位置的大型组织1,500+用户。该应用程序是一个基于Kohana v3.0框架构建的PHP应用程序。该组织位于ISP级别的代理过滤服务器后面。每个位置都有一个主要的公共IP地址,然后通过代理渠道到网络。每个用户都有一个雇主发布的Mac或Windows工作站。
他们正在经历的事情似乎是cookie碰撞。示例:一个用户在其工作站上登录,然后另一个用户使用相同的操作系统和浏览器类型从相同的位置,不同的工作站登录。第二个用户通过接收与第一个用户匹配的新生成的cookie(令牌)来接收第一个用户的活动会话。这似乎只与'authautologin'cookie相关(当记住我的复选框在登录屏幕上进行设置时),但我保持我的选项对代理缓存(我无法证明代理仍在缓存)。
由于网络设置,服务器可以看到数百个用户使用相同的用户代理从相同的IP地址登录。我最初的想法是,Kohana v3生成浏览器(用户代理)独有的cookie的方式对于这个真实世界的应用程序来说并不足够。
有没有人遇到过这样的事情?在Cookie和会话生成中采取适当的行动是什么?管理数据库中的Cookie和活动会话会更好吗?
Kohana的模块:果冻-AUTH,果冻,和验证
服务器:Apache/2.2.9(Debian的)的mod_fastcgi/2.4.6的mod_jk/1.2.26 PHP/5.2.6-1 + lenny8用了Suhosin贴片的mod_ssl/2.2.9的OpenSSL/0.9.8g
已知的浏览器:IE 8 & 9,火狐(OS和Win)和Safari(OS)
+1:仔细提问 - 有详细的可用信息。做得好。 – 2011-12-19 16:15:28
我同意,但这不是代理的问题,将适用于任何使用自动登录cookie的服务? – 2011-12-19 16:17:40
@皮卡一直是我上周的想法/沮丧。然后,在问他们的内部IT人员后,我了解到代理过滤器的目的是阻止像GMail,Facebook,Twitter等网站......所以我导致他们无法访问网站之外的网站他们登录的网络。这个应用程序可能是唯一一个可以发布网络外的自动登录cookie的应用程序。 – ixasilent 2011-12-19 16:29:28