[Sol Abband] Come evitare che un utente possa loggare da 2+ postazioni diverse

[rushseeker]

Come da oggetto:
Un utente effettua il login.
Lo stesso utente usa un'altro browser ed effettua nuovamente il login


Questa cosa è permessa su joomla. Cioè due utenti possono accedere con le stesse credenziali di accesso.


Vorrei evitare questa cosa per ragioni di sicurezza ( password rubata? ).


Avete qualche idea? C'è una tabella che si riempie quando un utente effettua il login?

[mau_develop]

non puoi, o meglio non ti serve poichè non riusciresti a distinguere il "buono" dal "cattivo", escluderesti solo il secondo che si logga.

M.

[rushseeker]

una pezza la devo mettere comunque.

Vorrei fare cosi: se due utenti fanno login allora
1) ammazzo la sessione
2) cambio al volo la password
3) invio la mail di cambio password ( con password)
4) avviso del tentativo di login doppio

Che cosa ne pensi?

Come faccio il punto 1?
Dopo posso prendere questi dati? La tabella jos_session sembra fatta per tenere sti dati, è cosi?

[mau_develop]

Che cosa ne pensi?
-----------------------------
che non capisci....

se due utenti fanno login allora
1) ammazzo la sessione
---------------------------------------------
di chi? del secondo? del primo?

2) cambio al volo la password
-----------------------------------------
così se esco dall'ufficio loggato e vado a casa e mi riloggo mi cambi la pw?

3) invio la mail di cambio password ( con password)
----------------------------------------------------------------
...non so chi siano i tuoi users... ma se lo fai con me è l'ultima volta che visito il tuo sito....

4) avviso del tentativo di login doppio
----------------------------------------------------
come punto 1 .... a chi al secondo ovviamente... se ho rubato la pw sai che me ne frega...

lascia perdere...

M.

[rushseeker]

err

[rushseeker]

Che cosa ne pensi?
-----------------------------
che non capisci....


 

Vabbuono, lascio perdere.

[mau_develop]

ummhh no, ho sbagliato a dire lascia perdere... io solitamente non lascio perdere e sono i momenti in cui imparo di più.

Tieni conto di quello che ti ho detto per cercare altri modi e dimostra che si può ottenere un risultato accettabile, che non metta in difficoltà gli users e non li spaventi....

è il presupposto di partenza che è sbagliato, il furto di password lo puoi gestire diversamente, però può avere un senso non avere lo stesso user che rimane loggato... è memoria sciupata se gli users sono tanti...e può anche portare a problemi di furto di identità... magari tra colleghi... fai scadere la sessione dopo un tot e non lasciarla in vita.

Per rubare la pw deve essere proprio un "lavoretto coi fiocchi", non penso che qualcuno faccia phishing con la tua home e gli altri sistemi sono un po' tanto complicati. Devi avere la pw in chiaro e non dal db che la contiene criptata...

M.