From: Enver ALTIN (enver.altin@frontsite.com.tr)
Date: Wed 25 Jun 2003 - 19:17:47 EEST
On Wed, 2003-06-25 at 19:04, fr wrote:
> session acildiktan sonra yeni bir browser acinca yeni bir session mu
> aciliyor
Evet.
> olan browseri kapatinca sunucu tarafina sessionu kapatmak icin bilgi
> mi gidiyor,
Hayir. Session management icin genellikle per-session cookie veya
per-hit HTTP-GET parametreleri kullaniliyor. Browser kapatilinca cookie
sizlere omur oluyor, dolayisiyla session da belirli bir sure sonra
sunucudan temizleniyor.
> birden fazla dille ayni sessionlari kullanabiliyor muyuz, mesela php
> ile acilan bir sessionu java ile nasil entegre edebiliyoruz/muyuz,
PHP session handling fonksiyonlari yerine kendi kutuphanenizi yazip
Java'nin session bilgilerini sakladigi yere ilgili formatta yazarsaniz
ve Java'nin kullandigi session aktarim metodunu (dedigim gibi birkac yol
var bunun icin) kullanirsaniz hicbir mahsuru yok teknik olarak. Ancak
cok kolay degil.
> isin guvenlik tarafi nasil hallediliyor?
Kullaniciya rastgele uretilen bir bilgi (genellikle SessionID veya
ticket olarak biliniyor) bir defaya mahsus olarak uretiliyor, ancak
session icerigi kesinlikle verilmiyor. Bunun yerine session bilgileri
bir baska kaynak icerisinde (/tmp, veritabani vb.) saklaniyor ve bir
sonraki hit sirasinda kullanicinin sagladigi SessionID'ye gore arama
yapilarak session icerisindeki bilgilere erisiliyor.
Bilinen en onemli guvenlik sorunu SessionID bilgisinin session boyunca
sabit kalmasi, dolayisiyla bir kullanici, bir baska kullanicinin
SessionID degerini tahmin edebilirse, o kullanicinin yetkilerine veya
bilgilerine sahip oluyor.
Buna cozum olarak da SessionID bilgisini her defasinda degistirerek
guvenligi artirmayi amaclayan cesitli kutuphaneler var. PHP'de de var
tabii.
-- __________ | | | | Enver ALTIN (a.k.a. skyblue) | | Software developer, IT consultant | FRONT | |==========| FrontSITE Bilgi Teknolojisi A.S. |_____SITE_| http://www.frontsite.com.tr/