Cakephp/php 用户会话交换我们的一部分客户

Question

有一个我们无法复制的错误，该错误涉及我们企业客户的某一特定区域的用户交换。例如，用户在登录页面上以自己的身份登录，当到达家时，他们是另一个用户。

看起来像是意外的会话劫持，线索如下：

• cakephp 安全性设置为低（这仅意味着 cookie 不 重写每个页面加载，并且cookie不做用户代理 检查）
• 我们的cookie设置为不关心子域（.example.com而不是example.com）
• 企业用户如果登录到错误的区域，则会使用302重定向（我们应该使用303吗？）
• 有一个301意外发送出去，但用户能够将
• 所有受影响的用户复制到单个路由器后面，通过 Sprint MPLS 共享互联网。
• 所有受影响的用户可能正在使用客户发布的计算机
• ，他们的 IT 声称没有代理缓存，也没有远程 VPN 访问，但他们声称能够从家庭计算机和网络之外复制该问题。

由于我们无法以任何方式复制该问题，因此我们只能假设该问题特定于他们的网络。

我们如何证明他们的网络/计算机导致了会话交换？或者，当没有其他用户遇到此问题时，我们端的什么配置可能会导致此问题？

[编辑/更新]

响应评论提供的某些方向 - 我们的流量不足以发送重复的 ID。 （统计概率太低，无法看到我们看到客户复制的内容）。

另请参阅：

• Zend Framework 会话交换问题
• 为什么 php 生成相同的会话每次在测试环境（WAMP）中都有ids？

更新：

我们使用FCGI，显然需要mod_php来理解x_forwarded_for

• 这个函数调用有什么问题？

Answer 1

这可能是注销时会话失效不当造成的问题。请确保会话中的所有变量都正确终止，或者显式 null 终止会话中的每个对象，然后使会话无效。

第二个原因可能是在代码中使用变量检查静态变量。静态变量使用不当也可能导致此间歇性问题。

使用记录器记录映射到用户 ID 的会话 ID，这可以缩小问题范围并帮助您了解到底发生了什么。

在登录操作中使现有会话无效并创建新会话并将内容复制到新会话将有很大帮助。

Answer 2

首先，不要假设客户有错。这可能是他们或你的问题。在测试之前不要做出任何假设。

不管是谁的错，你都有责任去解决或帮助解决它。

首先，一个用户变成另一个用户通常是会话 ID 问题造成的。您在 Cake 中设置的安全级别不会为每个请求重新生成会话 ID。

我首先将 $session->id() 作为本地网络内部和外部的用户进行记录。然后比较会话 ID 是否相同或是否为空字符串。解决此问题的一种方法是为每个用户生成唯一的 ID。

如果每个实例的会话 ID 都是唯一的，您可能需要在负载下测试它。

重点是首先进行测试并根据发现得出结论，而不是猜测。