JmJ píše:Jde o to, ze phpbb identifikuje uzivatele behem sezeni, tedy od prihlaseni do odhlaseni, jednak podle identifikatoru, ktery phpBB pro daneho uzivatele v danem sezeni vygeneruje a ktery musi uzivateluv prohlizec pri kazdem pozadavku o stranku poslat, druhak podle ip adresy, ktera musi byt stejna jako pro prihlaseni, tretak jeste podle neceho dalsiho, co se nesmi behem sezeni zmenit.
Z toho plyne, ze pokud se uzivatel prihlasi z IP adresy A a pri dalsim nacteni nejake stranky na foru posle pozadavek z IP adresy B, tak je v prdeli a je odhlasen. U velkych poskytovatelu internetu, nebo treba u mobilnich operatoru, vyfasujete pro svuj pocitact IP adresu ze soukrome site operatora. Operator pak vase data posle do internetu pres nekterou ze svych internetovych bran, kterou si vybere treba podle vytizeni. Kazda brana ma jinou verejno IP v internetu. Takze dochazi k tomu, ze pro phpBB se uzivatel s jednim identifikatorem sezeni prihlasi z jine IP adresy a proto ho phpBB odstrihne.
Tyhle ruzne urovne parovani uzivatele k sezeni se daji vypinat, roste tim ale nezabezpecenost prace s forem.
(mozna sem to nepopsal technicky presne, ale doufam, ze pochopitelne).
No, skoro dobře. Jde o to, že IP adresa klienta se za celou dobu nezmění - ale změní se IP adresa z pohledu serveru, protože serveru se neptá přímo klient, ale nějaká proxy "na cestě". A protože cest je víc, jelikož jednou by tolik požadavků od všech klientů neprošlo, občas komunikace "uhne" na jinou proxy.
Háček v HTTP protokolu je ten, že IP adresa v requestu je buď veřejná IP adresa klienta, nebo IP adresa poslední proxy na cestě. U mobilního připojení tak phpBB nemá jak zjistit IP adresu skutečného klienta, dokonce víc klientů bude mít stejnou (šlo to přes stejnou proxy). Proxy pak ví koho se ptala a pro koho se ptala, takže když dostane ze serveru odpověď, zase hlavičky vymění a klient se taky nic nedozví.
Mimochodem, bez HTTPS pak na každé takové proxy může někdo sedět a číst si, co píšete
Veškeré ty finty phpBB jsou jen špatnou ochranou proti tomu, aby vám někdo neukradl to sessionId. Jenže ten "někdo" to vůbec nepotřebuje, protože vám při přihlášení může klidně přečíst heslo, když už by k té komunikaci měl přístup.
Odhlašování to dělá víc lidem i na jiných forech. A já to tuhle musel vysvětlovat i zákazníkovi, že máme v auditních logách stejnou ip adresu pro různé uživatele - právě díky tomu mám tohle "našprtané". V podstatě se na serveru NEDÁ spolehlivě zjistit IP adresa klienta. A to nemusí ani používat všelijaké ty anonymizéry - což jsou v praxi jen proxy, které nevyplňují hlavičku X-...-FOR (dle specifikace nemusí a jak jsem už psal, i drahý hardware to leckdy neumí).
Co se týče SSL, jsou dvě možnosti:
1) Koupit ověřený certifikát
2) Certifikát si vygenerovat zdarma.
Druhá možnost má tu nevýhodu, že každý uživatel bude muset "potvrdit výjimku" v prohlížeči, protože "certifikát nebyl vydán ověřenou autoritou".
(příběh pro pobavení - vloni nebo předloni někdo naboural jednu z těch ověřených a byl z toho docela povyk
)
Obě možnosti mají stejný stupeň zabezpečení, resp. druhá může mít i vyšší, neb si vygenerujete certifikát s klíčem o síle, jaká vás napadne, kdežto u první možnosti cena se stupňem bezpečnosti roste.
Ideální by byla možnost 0+2, čili jen spustit druhý listener na jiném portu a s podporou HTTPS. Kdo by chtěl přes HTTP, mohl by, kdo přes HTTPS, mohl by taky.
Obecně k administraci by se vždycky mělo lézt přes HTTPS, protože tam riziko, že někdo ukradne heslo, může mít fatální důsledky.
To odhlašování se děje někdy co půl minuty, někdy po 10 minutách. Někdy vůbec, nejspíš to závisí od vytížení mobilní sitě a místa, kde klient dřepí. Rozhodně já tu sedím doma u "pecka" na židli, nedriftuju ...
Jak mají naši mobilní operátoři uspořádanou síť netuším, předpokládám, že všechno nejde přes nějakého velkého bratra, ale možná taky jo. Vlastně - asi spíš jo, vzhledem k tomu, že PČR by měla mít přístup k odposlechům ...
Možná by pomohlo, kdyby Vodafénu nějaká ta proxy umřela ... ale čert ví, jakou tam mají výkonovou rezervu ...
EDIT: Zkusil jsem v URL nahradit http https, jen tak pro srandu, zjištění:
1) Orangeline na portu 443 (HTTPS) poslouchá. (HTTP má port 80, tyhle dva jsou každý pro své číslo "defaultní", proto vám je prohlížeč nepíše
)
2) Dokonce mají certifikát, samozřejmě neplacený, tož jsem dal výjimku
3) A dostal jsem 404, čili "nenalezeno". Chybí krůček
. To odhlášení se mi stává velice zřídka, proto to ignoruji.
... nerozumím skoro ani slovo ... 
. 
.