Bug 4677 - Мысля
: Мысля
Status: CLOSED NOTABUG
: Infrastructure
(All bugs in Infrastructure/bugzilla.altlinux.org)
: unspecified
: all Linux
: P2 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2004-07-04 22:46 by
Modified: 2008-01-20 00:18 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2004-07-04 22:46:25
На багу претендовать не буду, это спорный вопрос, но мысля такая: не лучше ли 
сделать так, чтоб зарегистрированный пользователь сам мог выбирать будет ли 
его пароль(способ доступа к сайту) сохраняться у него в куки, т.е. имею ввиду 
что-то типа "я захожу с надежного компа" или "я захожу с компа общего 
пользования"?
------- Comment #1 From 2004-07-05 15:23:54 -------
Это совсем не бага и к bugzilla никакого отношения не имеет. Это дело браузера.
Другого способа сохранить информацию на стороне клиента, кроме как cookie, нет. 
Иначе как узнать, что пользователь именно тот за кого себя выдает?
Если не засылать cookie, то bugzilla будет спрашивать логин/пароль на каждое 
действие. Т.е. то что вы предлагаете в принципе не возможно... да и не нужно.
Если
вы думаете о безопасности, то не пользуйтесь личными аккаунтами не со своей 
машины.
------- Comment #2 From 2004-07-05 15:40:18 -------
>Другого способа сохранить информацию на стороне клиента, кроме как cookie, 
>нет.  
Согласен. 
>Если не засылать cookie, то bugzilla будет спрашивать логин/пароль на каждое  
>действие. Т.е. то что вы предлагаете в принципе не возможно... да и не нужно.  
Обычное использование сессий - и пока броузер не закрыт пользователь 
авторизован, с закрытием броузера сессия закрывается. При следующем заходе на 
сайт логин/пароль вновь вводится, если кому не хочется вводить его вовсе, то 
нажимается кнопка "свой камп". 
------- Comment #3 From 2004-07-05 16:35:38 -------
(In reply to comment #2)
> Обычное использование сессий - и пока броузер не закрыт пользователь
Это реализуется с помощью тех же самых cookie или путем добавления ключа в URL. 
Bugzilla хранит IP и Cookie(в лучае того что вы предлагаете тут будет 
SESSION_ID) вошедших в систему... когда ей нужно удалить эту информацию?
Как при использовании сессии отследить что пользователь закончил работу, а не 
просто отошел от компьтера? 
Ответ: Никак. Браузер не шлет никакой информации о закрытии сессии.

> авторизован, с закрытием броузера сессия закрывается. При следующем заходе на 
> сайт логин/пароль вновь вводится, если кому не хочется вводить его вовсе, то 
> нажимается кнопка "свой камп".
Без явного завершения сеанса работы в багзилле я смогу перехватить вашу сессию
... правда у нас тут страхует SSL, но полагаться на то что SSL всегда есть 
нельзя.
Предлагаемая вами схема более уязвима чем существующая.

------- Comment #4 From 2004-07-05 16:51:30 -------
Обычно на стороне сервера сессия закрыватся через какой-то тайм-аут не 
активности клиента, в этом случае если пользователь на долго отошел от компа, 
то ему прийдется заново ввести пароль по возвращении. Если пользователь 
закончил работу, то он может самостоятельно разлогиниться.(примерно так же 
ведет себя скринсавер, ему тоже никто не говорит находится ли человек у 
копмпа, а при новой активности просит пароль(если так настроено)) 
------- Comment #5 From 2004-07-05 18:13:18 -------
(In reply to comment #4)
> Обычно на стороне сервера сессия закрыватся через какой-то тайм-аут не 
О каком сервере вы говорите? о том что bugzilla держет логин открытым в течение 
некоторого времени?

> активности клиента, в этом случае если пользователь на долго отошел от компа, 
> то ему прийдется заново ввести пароль по возвращении. Если пользователь 
> закончил работу, то он может самостоятельно разлогиниться.(примерно так же 
> ведет себя скринсавер, ему тоже никто не говорит находится ли человек у 
> копмпа, а при новой активности просит пароль(если так настроено)) 
Т.е. вы предлагаете уменьшить время в течении которого логин остается открытым?
Пока я не могу понять то что вы хотите предложить.
------- Comment #6 From 2004-07-06 00:20:18 -------
Я пытаюсь сказать, что хорошо бы на сервере bagzilla иметь 2 режима: 
1. когда пользователь за сесиию вводит 1 раз пароль и работает до момента пока 
он разлогинился/закрылброузер/превысил тайм аут неактивности.  
2. когда пользователь ввел 1 раз пароль и дальше пожизненно его не вводит (по 
крайней мере с этого компа). 
Второй режим сейчас реализован, первого нет, если есть интерес к первому, но 
не знаете как, могу помочь, чем смогу. 

P.S. А еще на сайте bugzilla.org можно скачать русские шаблоны. Ведь AltLinux 
русский проект. 
------- Comment #7 From 2004-07-06 15:13:45 -------
(In reply to comment #2)
> Обычное использование сессий - и пока броузер не закрыт пользователь 
> авторизован, с закрытием броузера сессия закрывается.

Это фича браузера или короткие куки, насколько [с трудом] помню.  Про
"пожизненно" vs "таймаут" -- почитайте про сессии и HTTP, хотя бы здесь:
http://portal.research.bell-labs.com/~dmk/cookie-ver.html

В общем, pilot@ скорее всего имел в виду необходимость общаться с апстримом
(авторами bugzilla), а не майнтейнером местного образца данного продукта.
------- Comment #8 From 2004-07-06 16:54:02 -------
Мне пока добавить нечего к написанному. Если кто-то реализует флагом
сеансовость
кук и прокисатор сессий, то пожалуйста. Для любителей perl это не должно быть
проблемой, но я не из их числа.
Лично я и так авторизуюсь слишком часто и думаю, что есть более горящие дела
касательно ALTLinux.
------- Comment #9 From 2004-07-06 17:03:47 -------
(In reply to comment #8)
> Мне пока добавить нечего к написанному. Если кто-то реализует флагом сеансовость
> кук и прокисатор сессий, то пожалуйста. Для любителей perl это не должно быть
> проблемой, но я не из их числа.

Я пока не хочу это реализовывать, потому что считаю эту фичу потенциальной грозой 
безопасности сайта. И пока я не слышал аргументов против этого. Если апстрим это 
реализует, то тогда еще может быть.

------- Comment #10 From 2008-01-20 00:18:01 -------
reassign (not that it's definitely worth working on...)