Il problema che sto avendo, che non può essere risolvibile, è la seguente:Protezione cookie e sessioni
Ho un cliente che è una grande organizzazione di 1.500 + utenti a 7-8 posizioni differenti. L'applicazione è un'applicazione PHP costruita sul framework v3.0 di Kohana. L'organizzazione si trova dietro un server di filtraggio proxy a livello di ISP. Ogni posizione ha un indirizzo IP pubblico principale che passa attraverso il proxy e poi sul web. Ogni utente ha una workstation Mac o Windows rilasciata dal datore di lavoro.
Quello che stanno vivendo sembra essere collisioni di biscotti. Esempio: un utente accede alla propria workstation quindi un altro utente accede dalla stessa posizione, workstation diversa, con lo stesso sistema operativo e il tipo di browser. Il secondo utente riceve la sessione attiva dei primi utenti ricevendo un cookie appena generato (token) che corrisponde al primo utente. Questo sembra essere solo correlato al cookie 'authautologin' (impostato quando la casella di controllo remember me è impegnata nella schermata di accesso), ma sto mantenendo le mie opzioni aperte al caching dal proxy (non posso provare che il il proxy è ancora nella cache).
A causa dell'impostazione della rete, il server vede centinaia di utenti che accedono dallo stesso indirizzo IP allo stesso agente utente. Il mio pensiero iniziale è che il modo in cui Kohana v3 genera i cookie che sono unici per il browser (user agent) non è abbastanza unico per questa applicazione reale.
Qualcuno ha mai sperimentato qualcosa di simile? E quali sarebbero le azioni corrette da intraprendere nella generazione di cookie e sessioni? Sarebbe meglio gestire i cookie e le sessioni attive nel database?
Moduli Kohana: Jelly-Auth, gelatina, e Auth
Server: Apache/2.2.9 (Debian) mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1 + lenny8 con Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Browser noti: IE 8 & 9, Firefox (OS e Win) e Safari (OS)
+1: domanda con attenzione - con buoni dettagli disponibili. Molto bene. –
Accetto, ma non si tratta di un problema con il proxy applicabile a qualsiasi servizio che utilizza un cookie di accesso automatico? –
@Pekka che è stato il mio pensiero/frustrazione per l'ultima settimana. Poi, dopo aver chiesto al personale IT interno, ho appreso che lo scopo del filtro proxy era bloccare siti come GMail, Facebook, Twitter, ecc ... Quindi sono portato a credere che non abbiano accesso a siti al di fuori rete dove effettuano l'accesso. Questa applicazione potrebbe essere l'unica in cui è possibile che venga rilasciato un cookie di accesso automatico esterno alla rete. – ixasilent