問題タブ [sessionid]

クラスマップ全体をシリアル化することはできないため、カスタムクリップボードを作成しました。これはWindowsクリップボードの要件です。

ただし、一意のIDを使用してクリップボードを使用しているユーザーを区別する必要があります。基本的に、1台のPCに座って、Visual Studio（または同様のもの）のコピーを1つ以上開いている人を識別できるようにしたいと思います。

それ、どうやったら出来るの？

ps：これは設計時です。

pps：VisualStudioのコピー間で機能することは重要ではありません。1つのコピーで十分であり、1つのデザインサーフェスでもかまいません。

セッションハッシュに使用する適切なアルゴリズムを選択する場合、サイズは重要ですか。

最近この記事を読みましたが、ワールプールを使用してセッションIDのハッシュを作成することを提案しました。Whirlpoolは128文字のハッシュ文字列を生成しますが、これは大きすぎますか？

計画は、セッションハッシュをデータベースに保存することです。64文字のフィールド（sha256）、96文字のフィールド（sha384）、または128文字のフィールド（ワールプール）を使用することには、大きな違いがありますか？ワールプールについてなされた最初の議論の1つは、速度と他のアルゴリズムでしたが、速度の結果を見ると、sha384はそれほど悪くはありません。

ハッシュを切り捨てて128文字より小さくするオプションがあります。

必要に応じてアルゴリズムを変更できるように、元のコードスニペットを変更しました。

更新：文字列がハッシュされることについていくつかの議論があったので、コードを含めました。

IIS の異なる仮想ディレクトリに 2 つの同一のアプリケーションをセットアップしています (両方のアプリケーション名が同じになるようにいくつかの回避策を実行しました)。2 つの asp.net Web アプリケーションでセッション ID を共有する方法はありますか?

StateServer にセッションを保存しているので、両方とも同じセッション データを取得する必要がありますが、アプリケーション a からアプリケーション b に移動するたびに、異なるセッション ID が作成されます。これは、負荷分散のシナリオでも発生しませんか? www.test.com にアクセスすると、そのリクエストはサーバー a にリダイレクトされ、もう一度ヒットするとサーバー b にリダイレクトされますが、別の Web アプリケーションであるため、新しいセッション ID が作成されます。 ?

したがって、2 人のユーザーが同じマシン、同じブラウザーを使用する ASP.NET の問題です。

1. ユーザー 1 がドメインにログインします。
2. ユーザー 1 は、一部のデータを保存せずに変更します。
3. ユーザー 2 は別のタブでドメインにログインします。
4. ユーザー 1 は自分のタブに戻り、データを保存します。
5. User 1 は実際に User 2 にデータを保存しました!!

これは、次のメカニズムによって発生します。

1. 同じブラウザの異なるタブが同じセッション ID を共有しているようです。
2. ユーザー認証をCookieに保存しており、Cookieはタブ間で共有されています（同じドメイン）

したがって、ユーザー 1 が保存を要求すると、Cookie がユーザー 2 に更新されているため、ユーザー 2 として認識されます。

だから私は、これが起こらないようにする他の方法があるかどうか疑問に思っています. 2. どのユーザーがページを所有しているかを示すために、常にページに隠しフィールドを含めます。

よろしく、

actionscript を使用してさまざまなユーザーを区別するにはどうすればよいですか、またはそれは可能ですか?

私は PHP でログイン システムを作成していましたが、疑問に思いました: なぜセッションが必要なのですか?

ユーザー ID とセッション ID を使用して Cookie を保存すると、ユーザー ID とパスワード ハッシュを使用して Cookie を保存する場合とまったく同じセキュリティ リスクが発生しませんか (パスワード ハッシュが十分に強力である場合)。ええ、誰かが Cookie を盗む可能性はありますが、sessionid Cookie を盗んだ場合も同じではありませんか?

すべての (合理的に安全な) ログインシステムでセッションを使用する理由を誰か教えてもらえますか?

ローカル開発サーバーとリモートWebサーバーの両方でPHPバージョン5.3.2を使用しています。

uploadifyを使用していくつかのファイルをサーバーにアップロードしようとしています。受信スクリプトでは、セッションに保存されているデータを使用したいのですが、uploadifyはフラッシュを使用してファイルをスクリプトに送信するため、セッションCookieを送信しません。
この問題の回避策は、uploadifyを取得してセッションIDをスクリプトにGETまたはPOSTすることですが、これは非常に信頼性が低いと感じています。私のスクリプトには次のものがあります。

スクリプトのURLはscript.php？SESSNAME = sessionidのようなもので、上記のように透過的なセッションIDを使用し、session_id（$ _ GET ['SESSNAME']）を使用して手動でIDを設定しようとしました。

これは、ブラウザで直接スクリプトにアクセスし、セッションCookieを手動で削除した場合でも、現在のセッションIDを送信するときに常に機能します。また、ローカルサーバーのuploadifyでも常に機能します。ただし、リモートサーバーでuploadifyを使用すると、約20％の時間、完全にランダムに機能します。パターンはありません。追加すると、より頻繁に動作するように見えました

スクリプトに、しかし、これは単なる偶然の一致だったかもしれません。

ローカルサーバー情報：http
：//www.dur.ac.uk/nrbrook/info_local.php リモートサーバー情報：http ：//www.dur.ac.uk/nrbrook/info.php

いくつかの憶測...

スクリプトが受け取っているヘッダーを掘り下げて見てみると、問題が特定された可能性があります。
FileReference.upload（）（私は思う！）メソッドを使用する場合、フラッシュはCookieを送信しないため、uploadifyを使用する場合はセッションIDを送信する必要があります。ただし、セッションIDだけでなく、負荷分散された環境（リモートサーバーなど）には、ユーザーが現在使用しているサーバーを決定するBALANCEIDCookieもあります。FlashはこのCookieを送信しないため、ロードバランサーがリクエストを別のサーバーに送信することがあり、このサーバーにはセッションが存在しません。

セッションを出力した後、セッション変数を設定して、この動作をテストしました。これを実行してファイルを繰り返し送信すると、問題が発生します。最初は空の配列が表示されますが、変数にいくつかの繰り返しが表示され始めます。

したがって、上記がすべて当てはまる場合、私の質問は、アップロードでこのデータを送信するためにフラッシュを取得して、ロードバランサーが使用するサーバーを認識できるようにするために何ができるかということです。それともこれは失われた原因ですか？

答え？

さらに調査した結果、次の投稿が見つかりました-http: //swfupload.org/forum/generaldiscussion/977
これは、FileReference.upload（）でCookieを送信する方法がないため、負荷分散されたサーバーでuploadifyを使用できないことを示しています。セッションデータを使用したい。ただし、セッションIDにリンクされたデータをファイルに保存するソリューションを試してみようと思います。uploadify受信スクリプトは、このファイルを開いて、必要なデータを引き出すことができます。
これは、Flashベースのものを使った初めての経験ですが、テクノロジーに対する私の意見は改善されていません。

まず、はい、これは大きなセキュリティNONOであることを知っています。しかし、シナリオはこれです。

Web ショップのチェックアウトでは、SSL を介してチェックアウト フォームをプロキシできる支払いゲートウェイを使用します。

（以下のURLはあくまでも理論であり、他のURLも申請に適用されます）

仕組みとして、ウェブサイトはユーザーを https://gateway.org/secure-tunnel.php にリダイレクトし、次のようなクエリで URL を渡します ?url= http://myshop.com/cc-form.php <- 必要urlencode されます。

セキュア トンネルは URL を要求し、ドキュメント内の URL に魔法をかけ、それをユーザーに表示します。

ここで、セッション ID を cc-form.php の URL に渡し、その部分を機能させたいと考えています。しかし、要求されたページは、渡されたセッション ID を取得しません。

それに関するアイデアはありますか？

以下は私のapplication.iniからのものです

また、調査中に Suoshin 拡張機能が問題を引き起こしている可能性があることがわかったので、これを .htaccess に追加しました。

支払いフォームへのルートを使用します

編集：可能で、かなり危険な解決策

_initApplication()これをブートストラップファイルに挿入することで、実際にセッションを復元できました。それはかなり危険なので、誰かがより良い、よりZFっぽい方法を知っている場合は、アドバイスをお願いします!

編集：DOH！

まあ..以前の編集は必要ないことがわかりました。前の行をブートストラップに追加する直前に、URL レイアウトも変更しました。

/pay/UPSSESSID/{session-id-here}からに変更しました/pay?UPSSESSID={session-id-here}-そして、それが実際に問題の根本でした:(

これで、ブートストラップから行を削除し、sessionId を正しく復元しました。

私のミス！

プロセス識別子を使用して、ユーザー識別子を取得できます。実際、プロセスがユーザー環境で実行される場合、ユーザーセッションIDを取得できます...

しかし、どうすればユーザー名だけでWindowsセッションIDを取得できますか？（もちろん、ユーザーがログに記録されていない場合、セッションIDを取得することはできません）。

私の状況は次のとおりです。

ユーザーデスクトップで実行されているUIアプリケーションとの通信チャネルを持つサービス（システムサービス）があります。デスクトップアプリケーションは、ProcessIdToSessionIdを使用して、デスクトップセッション識別子をサービスに伝達し、ユーザーデスクトップのサービスから直接プロセスを実行することができます（ユーザー資格情報を使用）。

私が達成したい目標は、デスクトップアプリケーションと通信することなく、セッション識別子（システムサービスからアプリケーションを実行するために必要）を導出することです。

言い換えれば、ユーザー名でセッション識別子をアサートすることは可能ですか？

localhost (Debian Sid マシン) で、PHP は /var/lib/php5 にセッション ファイルを作成します。たとえば、sess_cd2ct9hud284gn01os13nk5mi7 を開くと、次のようなものが表示されます。

このファイルを使用してセッションの実際の値を読み取るにはどうすればよいですか? これは base64_hash ですか?