login + tilbake

[Plazma]

tilbake-funksjonen i browseren kan av og til medføre problemer for login-script og sikkerhet.

 

fins det noe måte å hindre dette på?

f.eks unngå at sida blir cachet?

eller benytte javascript?

 

paste gjerne litt kode

takk for alle svar

[kilogram]

Dette spørs, her er det forskjell på sessions og cookies. Om ein cookie har blitt sletta, og du bruker tilbakeknappen, vil sida verte henta frå cachen. Om du går vidare og prøver å klikke på ein link der du må vere innlogga, vil du då plutselig vere utlogga.

 

Dersom du bruker sessions, er dette annleis. Ein session blir gjenoppretta dersom du bruker tilbakeknappen, og du vil då vere logga inn att.

[Plazma]

Dersom du bruker sessions, er dette annleis. Ein session blir gjenoppretta dersom du bruker tilbakeknappen, og du vil då vere logga inn att.

 

Ja, jeg benytter sessions, men problemet er ikke variabler, for disse sletter jeg i en logout funksjon.

 

Problemet er at når jeg trykker tilbake, så kan jeg se innholdet jeg hadde like før jeg kjørte logout funksjonen (en knapp). Jeg må logge inn på nytt for å kunne forta meg noe, men det er uheldig at det er mulig å se det sensitive innholdet (brukeropplysninger bl.a), dersom f.eks brukeren sitter på en PC som flere bruker.

 

Dette er vel fordi informasjonen blir cachet, men fins det noe måte å "lure" cachen og/eller browserens tilbakeknapp på?

 

 

På forhånd takk

[rudolfrock]

sessions blir ikke gjenopretta om man trykker tilbakeknappen i browseren etter man har kjørt en session_destroy();

[kilogram]

Uansett, så er det ein HTML-tag du kan nytte der du seier til browseren at denne sida ikkje skal lagrast i cachen. Men kva den var, nei, det huskar eg ikkje...

[Plazma]

hmm..

 

du tenker kanskje på header("Pragma: no-cache"); ?

prøvde den, uten resultat..

[magikern]

header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");    // Date in the past

header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");

                                                  // always modified

header("Cache-Control: no-store, no-cache, must-revalidate");  // HTTP/1.1

header("Cache-Control: post-check=0, pre-check=0", false);

header("Pragma: no-cache");                          // HTTP/1.0

 

jeg bruker ihvertfall dette i toppen av hver side så man altid kommer til ny opdatert side istedenfor en som ligger i cachen, er ikke sikker på om dette hjelper deg riktignok.

[Plazma]

Takker for tipset, men så dessverre ikke ut til å fungere som ønsket det heller :/

 

Her kan dere se problemet med egne øyne:

http://plazma.duplex-crew.org/scripts/auth/

l/p: test / asdasd

 

Prøv å logg inn, dertter logg ut, så ser dere at tilbakeknappen gjør det mulig å se det "beskyttede" innholdet igjen.

 

http://plazma.duplex-crew.org/scripts/auth/index.phps for spesielt interesserte

[magikern]

kunne ikke finne session_destroy i dette scriptet ditt og jeg tror nok du har svaret ditt der....

[Plazma]

Tja, kjøre session_destroy() i logout funksjonen i såfall? Virket nok ikke helt det heller :/

 

Slik jeg ser det, ligger problemet i browseren som viser gammelt innhold uten "lov", men nå føler jeg at jeg har prøvd det meste.

 

Hvordan løser andre script liknende problem? Logout funksjoner generelt har jeg aldri fått til å fungere 100%.

Noen tips?

[WooooHa !]

Heisann,

 

jeg slet med et liknende problem.

 

 

Det viste seg at

 

$_SESSION['pw'] = ""; 

 

fungerte fint hos meg lokalt, men ikke når jeg lastet opp siden.

 

Løsningen ble å bruke

 

session_unregister('pw');

 

istedenfor