21. august 2010 - 13:02Der er
3 kommentarer og 1 løsning
Søgemaskiner og session ids
Hej Derude,
Jeg er ved at skrive et vare katalog i php og er rendt ind i et lille problem;
Jeg har skrevet en custom session klasse der som udgangspunkt bruger cookies til sessid'et og skifter over til url baseret sessid hvis klienten ikke har cookies slået til.
Men desværre bliver søgemaskiner betragtet som cookie-løse klienter og får dermed tildelt et url baseret session id hvilket jeg for alt i verden vil undgå.
Har tænkt på at lave en database over de største søgemaskiners user-agents og ganske enkelt ikke lave nogen session hvis de bliver genkendt som en søgemaskine, men det er jo meget lidt dynamisk :(
Nogen kloge hoveder der har en super god løsning ?
Efter min mening er den absolut bedste løsning _kun_ at bruge cookies til session_id (og dermed bare bruge den almindelige opsætning).
Det er meget få brugere der har cookies slået fra, langt størstedelen vil være bots. Og for de brugere der har det slået fra, så er det bare ærgerligt. Du kan evt. lave et tjek, og give brugeren en besked om at cookies skal være slået til (brug javascript til det, så søgemaskinerne ikke ser den tekst).
Ved at tillade session_id at blive sendt som en del af URL'en, åbner du for forskellige session-hijacking sårbarheder, som du skal håndtere. Ud fra det og kompleksiteten med søgemaskinerne som du har problemer med, vil jeg ikke mene, at det er besværet værd for de par brugere med cookies slået fra.
Hmm hvis du mener det er en så lille del så er det måske værd at gøre som du siger.
Hvilke sårbarheder har du i tankerne ? Jeg har selvfølgelig sørget for at sessionen kun kan loades hvis klienten er fra den IP som sessionen blev oprettet fra. Hvilket betyder at hackeren skal være fra samme ip som klienten hvis kan skal kunne hacke den, eller er der noget jeg har overset ?
At tjekke IP adressen kan løse mange af de problemer der opstår. Men flere personer kan dele en IP adresse, og ISP'en kan også ændre en IP adresse løbende imens man er online, hvilket vil gøre at brugeren bliver logget af.
Okay tak for info'en, tror jeg holder mig til din cookie-only løsning så :)
Tak for hjælpen
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
