Nastavení session – zakázání pro boty

iru
Člen | 100
+
0
-

Jde prosím nějak zakázat session pro boty? Na jednom webu mi opakovaně dochází k zahlcení session v celém virtuálním serveru díky botům.
V common.neon mám nastavenou expiraci 0 dní, ale to nepomáhá.

session:
	expiration: 0 days

Nebo nápad, jak tento problém řešit. Děkuji moc.

Kamil Valenta
Člen | 562
+
0
-

Na jakém http daemonu to jede? To, že sessiona expiruje, ještě nutně neznamená, že ihned zmizí z FS (např. u Apache).

iru
Člen | 100
+
0
-

Kamil Valenta napsal(a):

Na jakém http daemonu to jede? To, že sessiona expiruje, ještě nutně neznamená, že ihned zmizí z FS (např. u Apache).

Myslím, že je tam apache. Zkusila jsem nastavit toto, mohlo by to pomoct?

session:
	expiration: 1 hours
	save_path: "%tempDir%/sessions"
	save_handler: files
	cookieSamesite: None

Teď koukám, že je to špatně, že když chci omezit jen na danou doménu, tak by to mělo být „Strict“, je to tak? https://doc.nette.org/…y-protection#…

Editoval iru (3. 8. 17:33)

Marek Bartoš
Nette Blogger | 717
+
0
-

Koukala jsi, co je obsahem té session vytvářené boty? Nejspíš budeš mít v kódu něco co ji spouští, i když nemusí.

Určitě se ujisti, že máš poslední verzi nette/http a nastavení session > autoStart: smart. Dost se toho nedávno měnilo, aby se session nepouštěla když není nezbytně nutná.

iru
Člen | 100
+
0
-

Marek Bartoš napsal(a):

Koukala jsi, co je obsahem té session vytvářené boty? Nejspíš budeš mít v kódu něco co ji spouští, i když nemusí.

Určitě se ujisti, že máš poslední verzi nette/http a nastavení session > autoStart: smart. Dost se toho nedávno měnilo, aby se session nepouštěla když není nezbytně nutná.

Co je obsahem nevím, ukládá se to na serveru, kam nemám přístup. A po zahlcení musím žádat, aby mi to promazali.
Možná teď, když jsem ukládání nastavila do souboru můžu zjistit co tam je… Ale děje se to nárazově. Jako nějakou dobu, třeba dva měsíce nic a najednou během pár minut zahlcení. Z hostingu mi psali, že příčinou jsou boti. Proto jsem zkoumala, jestli jim nejde nějak zakázat přístup k session…

Verzi Nette/http mám 3.0. Při vytvoření webu byla aktuální. Teď už není, ale zase 3.1 požaduje PHP 7.2 a na serveru je 7.1, jelikož mi tam běží jeden prestashop, který klientka nechce aktualizovat. Jinak ostatní věci by vyšší verzi PHP snesly :-(

Editoval iru (3. 8. 18:11)

dakur
Člen | 357
+
0
-

@iru Před 10 dny se objevila na prestashopu poměrně závažná zranitelnost. Možná by to pro klientku mohla být dobrá ilustrace toho, proč pravidelně aktualizovat. V dnešní době one-click updatů to není zas takový problém, doby kdy musel správce serveru shodit na hodinu web a den se na to připravovat, už odeznívají. :-)

Editoval dakur (4. 8. 8:14)