- Регистрация
- 8 Апр 2005
- Сообщения
- 19,684
- Пол
- мужской
Можно ли корректно сконфигурировать сервер?
У меня проблема с "выбросом" авторизации:
- При входе в форум с адреса www.notdrink.ru выкидывает на notdrink.ru - без "www" - без авторизации, при повторной авторизации впускает, но уже нет непрочитанных сообщений...
- При открытии топика по ссылке в новое окно, в новом окне окахываюсь неавторизованным.
- Не работает автовход.
Похоже, причина в настройках сессий пользователей:
- сессии привязываются к домену без www, очевидно потому, что домен с www не прописан элиасом.
- сессии привязываются к рамке окна, а не к айпишнику - вот и скидывает авторизацию при открытии страницы в новом окне.
- кукисы привязываются к сессии, а не по домену или по имени куки - вот и не работает автоузнавание.
Кроме неудобств пользователям, при таких настройках есть лазейка для хлоумышленника: я проверил, при незакрытом окне авторизация не слетает при смене айпишника; значит есть возможность подделкой куки перехватить чужую сессию на другой айпишник и войти в форум от имени любого, кто в момент перехвата присутствует на форуме.
У меня проблема с "выбросом" авторизации:
- При входе в форум с адреса www.notdrink.ru выкидывает на notdrink.ru - без "www" - без авторизации, при повторной авторизации впускает, но уже нет непрочитанных сообщений...
- При открытии топика по ссылке в новое окно, в новом окне окахываюсь неавторизованным.
- Не работает автовход.
Похоже, причина в настройках сессий пользователей:
- сессии привязываются к домену без www, очевидно потому, что домен с www не прописан элиасом.
- сессии привязываются к рамке окна, а не к айпишнику - вот и скидывает авторизацию при открытии страницы в новом окне.
- кукисы привязываются к сессии, а не по домену или по имени куки - вот и не работает автоузнавание.
Кроме неудобств пользователям, при таких настройках есть лазейка для хлоумышленника: я проверил, при незакрытом окне авторизация не слетает при смене айпишника; значит есть возможность подделкой куки перехватить чужую сессию на другой айпишник и войти в форум от имени любого, кто в момент перехвата присутствует на форуме.