Bug 4677

Summary: Мысля
Product: Infrastructure Reporter: i9 <i92>
Component: bugzilla.altlinux.orgAssignee: Mikhail Gusarov <dottedmag>
Status: CLOSED NOTABUG QA Contact:
Severity: normal    
Priority: P2 CC: mike, pilot
Version: unspecified   
Hardware: all   
OS: Linux   

Description i9 2004-07-04 22:46:25 MSD 
На багу претендовать не буду, это спорный вопрос, но мысля такая: не лучше ли 
сделать так, чтоб зарегистрированный пользователь сам мог выбирать будет ли 
его пароль(способ доступа к сайту) сохраняться у него в куки, т.е. имею ввиду 
что-то типа "я захожу с надежного компа" или "я захожу с компа общего 
пользования"?
Comment 1 Alexey Gladkov 2004-07-05 15:23:54 MSD 
Это совсем не бага и к bugzilla никакого отношения не имеет. Это дело браузера.
Другого способа сохранить информацию на стороне клиента, кроме как cookie, нет. 
Иначе как узнать, что пользователь именно тот за кого себя выдает?
Если не засылать cookie, то bugzilla будет спрашивать логин/пароль на каждое 
действие. Т.е. то что вы предлагаете в принципе не возможно... да и не нужно. Если
вы думаете о безопасности, то не пользуйтесь личными аккаунтами не со своей 
машины.
Comment 2 i9 2004-07-05 15:40:18 MSD 
>Другого способа сохранить информацию на стороне клиента, кроме как cookie, 
>нет.  
Согласен. 
>Если не засылать cookie, то bugzilla будет спрашивать логин/пароль на каждое  
>действие. Т.е. то что вы предлагаете в принципе не возможно... да и не нужно.  
Обычное использование сессий - и пока броузер не закрыт пользователь 
авторизован, с закрытием броузера сессия закрывается. При следующем заходе на 
сайт логин/пароль вновь вводится, если кому не хочется вводить его вовсе, то 
нажимается кнопка "свой камп".
Comment 3 Alexey Gladkov 2004-07-05 16:35:38 MSD 
(In reply to comment #2)
> Обычное использование сессий - и пока броузер не закрыт пользователь
Это реализуется с помощью тех же самых cookie или путем добавления ключа в URL. 
Bugzilla хранит IP и Cookie(в лучае того что вы предлагаете тут будет 
SESSION_ID) вошедших в систему... когда ей нужно удалить эту информацию?
Как при использовании сессии отследить что пользователь закончил работу, а не 
просто отошел от компьтера? 
Ответ: Никак. Браузер не шлет никакой информации о закрытии сессии.

> авторизован, с закрытием броузера сессия закрывается. При следующем заходе на 
> сайт логин/пароль вновь вводится, если кому не хочется вводить его вовсе, то 
> нажимается кнопка "свой камп".
Без явного завершения сеанса работы в багзилле я смогу перехватить вашу сессию
... правда у нас тут страхует SSL, но полагаться на то что SSL всегда есть 
нельзя.
Предлагаемая вами схема более уязвима чем существующая.
Comment 4 i9 2004-07-05 16:51:30 MSD 
Обычно на стороне сервера сессия закрыватся через какой-то тайм-аут не 
активности клиента, в этом случае если пользователь на долго отошел от компа, 
то ему прийдется заново ввести пароль по возвращении. Если пользователь 
закончил работу, то он может самостоятельно разлогиниться.(примерно так же 
ведет себя скринсавер, ему тоже никто не говорит находится ли человек у 
копмпа, а при новой активности просит пароль(если так настроено))
Comment 5 Alexey Gladkov 2004-07-05 18:13:18 MSD 
(In reply to comment #4)
> Обычно на стороне сервера сессия закрыватся через какой-то тайм-аут не 
О каком сервере вы говорите? о том что bugzilla держет логин открытым в течение 
некоторого времени?

> активности клиента, в этом случае если пользователь на долго отошел от компа, 
> то ему прийдется заново ввести пароль по возвращении. Если пользователь 
> закончил работу, то он может самостоятельно разлогиниться.(примерно так же 
> ведет себя скринсавер, ему тоже никто не говорит находится ли человек у 
> копмпа, а при новой активности просит пароль(если так настроено)) 
Т.е. вы предлагаете уменьшить время в течении которого логин остается открытым?
Пока я не могу понять то что вы хотите предложить.
Comment 6 i9 2004-07-06 00:20:18 MSD 
Я пытаюсь сказать, что хорошо бы на сервере bagzilla иметь 2 режима: 
1. когда пользователь за сесиию вводит 1 раз пароль и работает до момента пока 
он разлогинился/закрылброузер/превысил тайм аут неактивности.  
2. когда пользователь ввел 1 раз пароль и дальше пожизненно его не вводит (по 
крайней мере с этого компа). 
Второй режим сейчас реализован, первого нет, если есть интерес к первому, но 
не знаете как, могу помочь, чем смогу. 
 
P.S. А еще на сайте bugzilla.org можно скачать русские шаблоны. Ведь AltLinux 
русский проект.
Comment 7 Michael Shigorin 2004-07-06 15:13:45 MSD 
(In reply to comment #2)
> Обычное использование сессий - и пока броузер не закрыт пользователь 
> авторизован, с закрытием броузера сессия закрывается.

Это фича браузера или короткие куки, насколько [с трудом] помню.  Про
"пожизненно" vs "таймаут" -- почитайте про сессии и HTTP, хотя бы здесь:
http://portal.research.bell-labs.com/~dmk/cookie-ver.html

В общем, pilot@ скорее всего имел в виду необходимость общаться с апстримом
(авторами bugzilla), а не майнтейнером местного образца данного продукта.
Comment 8 Denis Ovsienko 2004-07-06 16:54:02 MSD 
Мне пока добавить нечего к написанному. Если кто-то реализует флагом сеансовость
кук и прокисатор сессий, то пожалуйста. Для любителей perl это не должно быть
проблемой, но я не из их числа.
Лично я и так авторизуюсь слишком часто и думаю, что есть более горящие дела
касательно ALTLinux.
Comment 9 Alexey Gladkov 2004-07-06 17:03:47 MSD 
(In reply to comment #8)
> Мне пока добавить нечего к написанному. Если кто-то реализует флагом сеансовость
> кук и прокисатор сессий, то пожалуйста. Для любителей perl это не должно быть
> проблемой, но я не из их числа.

Я пока не хочу это реализовывать, потому что считаю эту фичу потенциальной грозой 
безопасности сайта. И пока я не слышал аргументов против этого. Если апстрим это 
реализует, то тогда еще может быть.
Comment 10 Michael Shigorin 2008-01-20 00:18:01 MSK 
reassign (not that it's definitely worth working on...)