Vladislav Ludík wrote: > Tohoto mechanizmu používám při volání zabezpečených stránek, kde > příchozího ověřuji v modulu /getUserId(user, password) > / > Jsem v lokální síti spolu s dalšími uživateli, kteří se také připojují > na stejné stránky, ale pod svým jménem a heslem. > Po skončení práce se odhlásím. O.K. Co se ale stane, když zavřu > prohlížeč a neodhlásím se?
HTTP *neni* stavovy protokol, proto v principu neni moc spolehlivych zpusobu, jak odlisit "nove pusteni browseru" a "Franta si odskocil na toaletu". > Do doby, než session vyhnije na čas si někdo otevře přihlašovací stránku > a ejhle: > Je bez přihlášení zalogován na mém přihlášení. Moment, odkud tam ten clovicek pristupuje? Pokud je to ze stejneho prohlizece (mysleno se stejnym/sdilenym ulozistem cookies etc) na stejnem stroji, tak nemas absolutne zadnou moznost, jak to vyresit, krome otravovani uzivatelu snizenim timeoutu pro sessions. Pokud je to na druhou stranu treba z nejakeho jineho stroje, zrejme sessions pouzivas spatne. > To je ten problém, který řeším a zatím nevím jak. > IP, popřípadě MAC nebo něco na stránkách, co permanentně ověřuje, zda > jsem to stále já by asi zabránilo cizímu použít moje přihlášení. Bohuzel, nic takle zazracneho neni. Hezky den, -jkt -- cd /local/pub && more beer > /dev/mouth
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Python mailing list [email protected] http://www.py.cz/mailman/listinfo/python
