[Obelix]

Mozilla Firebird and Opera 7, IE не пробовал.

[hayk]

Quote:

Зачем все делается? В принципе это маломальский чат. А переменные передавать через ссылки не хочу потому что в таком случае будет творится обычный для таких случаев беспредел.

Все равно непонятно зачем?
Смысл в двух логинах с одного компа?

Quote:

Mozilla Firebird and Opera 7, IE не пробовал.

Новый таб и новое окно браузера - разные вещи.

[Obelix]

Да - два логина с одного компа.

Quote:

Новый таб и новое окно браузера - разные вещи.

Ну да, в обоих случаях не работает.

[3BEPb]

А передавать SID GET-ом не пробовал?

[Obelix]

Я вверху упомянул что такая мера экстремальная и к ней желательно не прибегать. Элементарнй пример с некоторыми форумами - человек пробует передать линк, между тем он вместе с этим передает доступ к своему аккаунту.

[hayk]

Честно говоря передо мной никогда такой задачи не стояло, а сейчас времени нет хотя бы попробовать. Но все что мне приходит в голову - дополнительно идентифицировать пользователя по имени окна браузера.

[Obelix]

Честно говоря это что-то мне неизвестное - что именно значит "имя окна" и как оно передается?

[nm]

Quote:

Originally Posted by Obelix

Люди, в пхп сессии уникальны для браузера или для его одного instance-а? Я изпользую два окна мазилы и помоему они оба врубаются в одну сессиию, так и должно быть?

1. откажись от сессий в cookies
2. передевай SID для каждой страницы, которую ты генеришь ...
3. обязательно запихивай тот SID, который тебе нужен во _все_ линки (все A HREF поголовно)
4. передавай SID со своими формами в виде GET/POST через hidden переменные.


_как_ именно это делается -- ищи сам )) потом уже у тебя будут более конкретные вопросы

перечитал еще раз тред .. чтоб не давать человеку доступ к аккаунту -- привяжи сессию к IP. если IP с которого пришел запрос и с которого был сделан логин - разные. уничтожай сессию на XXX

[Obelix]

Quote:

Originally Posted by nm

перечитал еще раз тред .. чтоб не давать человеку доступ к аккаунту -- привяжи сессию к IP. если IP с которого пришел запрос и с которого был сделан логин - разные. уничтожай сессию на XXX

Вот это уже идея , спасибо А реализовать, это не проблема.

[nm]

ок. тогд еще один материал для размышления ...
соединения через прокси
для этого медитируем над HTTP/1.[01] заголовками и такими вещами как
X-Forwarded-For:
Accept-Content-type .... (йо , нет такого заголовка, есть что-то похожее
идентификация браузера (версия) и т.д.

т.к. если в процессе работы у пользователя сменилась версия браузера -- не к добру это ))

[armeng]

Можно еще между запросами поменять SID.
Правда станет невозможным передавать линк и не будут работать кнопки НАЗАД - ВПЕРЕД у браузера, зато перехват SID-а не будет иметь смысла.

[hayk]

Quote:

Originally Posted by Obelix

Честно говоря это что-то мне неизвестное - что именно значит "имя окна" и как оно передается?

Ну у окна браузере есть свойство - имя, window.name.
Только на серевере оно неизвестно. Но можно сделать так:
Встраницу логина добавить следующее
<script>
window.name = "<?=$случайно сгенеренное имя?>";
</script>
В форме должно быть hidden поле для передачи имени окна на сервер.
По сабмиту формы яваскриптом в него пихаешь имя окна.

[Obelix]

Это не сработает, потому что у меня есть еще и обычные линки, не только формы.

[Obelix]

В принципе я не думаю стоит отдельно обрабатывать случай для прокси - я решил использовать одни единственный SID при этом сферивать еще и IP аддресс, т.е. с ворованным SID-ом ничего не поделаешь.

[hayk]

Quote:

Originally Posted by Obelix

Это не сработает, потому что у меня есть еще и обычные линки, не только формы.

Ну линки всегда можно переделать в post'ы