阻止用戶在Rails中共享會話Cookie的最佳方式是什麼?在Rails中阻止惡意用戶之間的會話共享
我想我有一個很好的辦法做到這一點,但我想通過堆棧溢出人羣來運行它,看看是否有先簡單的方法。
基本上我想如果有人試圖與他人分享付費會員來檢測。用戶在登錄時已經從多個不同的子網登錄過,但有人試圖通過共享會話cookie來解決這個問題。沒有將會話綁定到IP(許多合法人員使用旋轉代理),做到這一點的最佳方式是什麼。
我發現最好的啓發是B類子網/時間的#(某些ISP使用旋轉代理不同的CS類)。這對我們產生了最少的誤報,所以我想堅持這種方法。
現在我正在考慮爲每個請求應用一個before過濾器,以便跟蹤用戶在memcached中使用的哪個Subnets和session_ids,並將啓發式應用於該過程以確定Cookie是否被共享。
任何更簡單/更容易實現的想法?任何現有的插件,這樣做?我能想到的
Ron, 感謝您的迴應,我選擇了您的Jesse's,因爲我擔心他的方法中可能的競爭條件。不幸的是,我已經實現了一個基於子網的方法,但如果有任何問題,這是列表中的下一個。 – 2009-08-22 14:33:56
很高興它適合你。出於好奇,你會徹底禁止你懷疑的人,還是以某種類似於我所建議的方式警告他們? – 2009-08-22 16:46:08