Tälläisessä linkissä on juttua PHP:n sessioista.
http://shiflett.org/articles/the-truth-about-sessions
Se kohta, jossa määritellään se sormenjälki, niin en oikein hoksaa, että mitä sillä sitten pitää tehdä. Eli pitääkö sekin lisätä keksin mukaan, eihän siitä palvelimen päässä mitään hyötyä ole..kö?
muutenkin hiukan hukassa ton PHP:n systeemin kanssa...mulla on versio 4.3.10 ja suurinpiirtein oletusasetuksin, joten luotaessa sessio, php siis lähettää automaattisesti ton keksin matkaan / kayttaa GET:tiä jos ei keksejä tueta vai...jostain syystä en löydä vastauksia kummasteluihini, vaikka olen koko illan tutkinut aihetta.
Tuolla on myös hyvä PHP tietoturva opas: http://phpsec.org/projects/guide/
Luvussa neljä puhutaan sessioista.
En nyt lukenut koko artikkelia läpi, mutta mikäli ymmärsin oikein tarkoitus on:
SIVU 1
1. Luot session
2. Luot sormenjäljen
3. Tallennat sormenjäljen sessioon
4. Tallennat sormenjäljen omalla keksilläsi käyttäjän koneeseen.
SIVU 2
1. Luot session
2. Vertaat sormenjälkeä sessiosta sormenjälkeen käyttäjän keksistä.
Toivottavasti ymmärsin oikein mitä tuossa artikkelissa ajettiin takaa. Olisi suositeltavaa että aina kun vertaat sormenjälkiä ja todettaessa samoiksi, luot uuden sormenjäljen ja tallennat sen taas sessioon ja keksiin.
PHP:n sessioiden toiminnasta, kyllä; kun käynnistät session PHP yrittää tallentaa session id:n keksinä kävijänkoneelle ja mikäli se ei onnistu niin PHP automaattisesti lisää sen kaikkiin sivun linkkeihin ja lomakkeisiin. Tämän saa pois päältä muuttamalla session.use_only_cookies arvon 1:ksi php.ini -tiedostossa.
Sinänsä vaikka sessiot ovat todella käytännöllisiä, niin ne tuovat myös aika paljon päänsärkyä koodarille. Niiden kanssa voi tehdä niin paljon virheitä ja täysin pomminvarmaa tunnistusta niillä ei voi tehdä, koska mikäli selaimessa on reikä (kuten tietääkseni ainakin IE:ssä oli joskus) niin keksinkin voi kaapata, jolloin teoriassa sormenjäljenkin voisi spoofata.
Jeps...kiitos Tomille...jälleen asia selkeni hiukan. Tuossa dokumentissa kyllä todettiin, että tuo omatekoinen sormen jälki kannattaisi pistää URL:n mukana, koska jos session-id on paljastunut, niin silloinhan on saatu kaapattu toi http- otsake jolloin lisäturvasta siellä ei ole hyötyä...huonosti selitetty mutta kuitenkin.
Potkaseeko tuo session_start() heti sen keksin liikkeelle, vai onko tuon jälkeen vielä mahdollista käyttää header() yms. funktioita
Keksit menee headereissa ja headerit ei lähe, ennenku tulostat jotain näkyvää.
Aihe on jo aika vanha, joten et voi enää vastata siihen.