nor*_*-md 10 php security cookies kohana-3 kohana-auth
我遇到的问题可能无法解决,如下:
我有一个客户,是一个由7,500个不同地点的1,500多名用户组成的大型组织.该应用程序是一个基于Kohana v3.0框架的PHP应用程序.该组织位于ISP级别的代理筛选服务器后面.每个位置都有一个主要的公共IP地址,通过代理然后流入网络.每个用户都有一个由雇主发布的Mac或Windows工作站.
他们所经历的似乎是饼干碰撞.示例:一个用户在其工作站登录,然后另一个用户从相同的位置,不同的工作站登录,具有相同的操作系统和浏览器类型.第二用户通过接收与第一用户匹配的新生成的cookie(令牌)来接收第一用户的活动会话.这似乎只与'authautologin'cookie(在登录屏幕上记住我的复选框时设置)有关,但我保持我的选项对代理缓存(我不能证明代理正在缓存).
由于网络设置,服务器看到数百名用户使用相同的用户代理从同一IP地址登录.我最初的想法是,Kohana v3生成浏览器(用户代理)独有的cookie的方式对于这个真实世界的应用程序来说不够独特.
有没有人经历过这样的事情?什么是在cookie和会话生成中采取的适当行动?管理数据库中的cookie和活动会话会更好吗?
Kohana模块:Jelly-Auth,Jelly和Auth
服务器:Apache/2.2.9(Debian)mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1 + lenny8与Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
已知浏览器:IE 8和9,Firefox(OS和Win)和Safari(OS)