Úprava Session, metoda start neumí vlastní session id

wotaen

Ahoj všichni,

dělal jsem crossdomain cookies v Nette a narazil jsem na nepříjemnost. třída Session neumí v metodě start vnutit php své session id. Přijde mi to jako významný aspekt práce se session, který v Nette chybí. Vyřešil jsem to poděděním Session a řádkem v config.ini
service.Nette-Web-Session = „SSOSession“
Ale stejně bych byl za úpravu přímo v Nette…co myslíte?

David Grudl

Mám pocit, že potřeba vnutit své session id zavání bezpečnostní chybou. Mohl bys své řešení blíže rozebrat?

Dr.Diesel

David Grudl napsal(a):

Mám pocit, že potřeba vnutit své session id zavání bezpečnostní chybou. Mohl bys své řešení blíže rozebrat?

Hoj Davide, meli jsme stejny problem, resili jsme to v pripade, kdy projekt ma vice lokalizaci na narodnich domenach. Potrebuju pri prepnuti lokalizace prenest session, coz neslo kvuli Nette-browser. Kolega to resil take vlastnim potomkem NSession.

mcmatak

wotaen chtěl asi především zmínit SSO „single sign on“, tedy způsob jak přihlásit uživatele na různých doménách, představte si, že jako firma poskytujete několik služeb, které mají společnou databázi uživatelů a všechny služby běží na své doméně, nechceme přece obtěžovat uživatele, aby se při překlikávání na jiné domény neustále přihlašoval, proto přihlašování řešíme přes třetí doménu „důvěryhodnou“ která udržuje společné ident session a ten se snažím podstrčit všem doménám co mne požádají o přihlášení

je to stejné bezpečnostní riziko jako je udržovat session id v cookies, stejně nespolehlivé a prolomitlné pomocí brute force

marek.dusek

SSO a „vnucování“ session ID přeci vůbec nesouvisí – ano, při SSO požádám centrální autoritu, aby mě ověřila, a ta mi vrátí nějaký token jako signál „OK, tenhle uživatel je v pohodě“ (úplně totéž, jako kdybych si lokálně ověřil nějaké jméno a heslo, se session ID to nijak nesouvisí) – pak už ale v kontextu „své“ aplikace používám „své“ session ID. Takže tyto dva světy neplést.