El problema que estoy teniendo, que puede no ser solucionable, es el siguiente:Galletas asegurar y Sesiones
Tengo un cliente que es una gran organización de 1.500 + usuarios a los 7-8 lugares diferentes. La aplicación es una creación de aplicación PHP en el marco Kohana v3.0. La organización se encuentra detrás de un servidor proxy de filtrado en el nivel del ISP. Cada ubicación tiene una dirección IP pública principal que se canaliza a través del proxy y luego a la web. Cada usuario tiene una estación de trabajo Mac o Windows emitida por el empleador.
Lo que están experimentando parece ser colisiones de cookies. Ejemplo: un usuario inicia sesión en su estación de trabajo y luego otro usuario inicia sesión desde la misma ubicación, diferente estación de trabajo, con el mismo sistema operativo y tipo de navegador. El segundo usuario recibe la sesión activa de los primeros usuarios al recibir una cookie recién generada (token) que coincide con el primer usuario. Esto parece estar relacionado solo con la cookie 'authautologin' (establecida cuando la casilla de verificación recordarme está activada en la pantalla de inicio de sesión), pero mantengo mis opciones abiertas para el almacenamiento en caché desde el proxy (no puedo probar que el proxy aún está almacenando en caché).
Debido a la configuración de la red, el servidor ve cientos de usuarios que inician sesión desde la misma dirección IP con el mismo agente de usuario. Mi idea inicial es que la forma en que Kohana v3 genera cookies que son exclusivas del navegador (agente de usuario) no es lo suficientemente exclusiva para esta aplicación en el mundo real.
¿Alguien ha experimentado algo como esto? ¿Y cuáles serían las acciones adecuadas para tomar en la generación de cookies y sesiones? ¿Sería mejor administrar las cookies y las sesiones activas en la base de datos?
Módulos Kohana: Jelly-Auth, jalea, y de Auth
Servidor: Apache/2.2.9 (Debian) mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1 + lenny8 con Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
navegadores conocidos: IE 8 & 9, Firefox (OS y Gana) y Safari (OS)
+1: Pregunta detenida - con buen detalle disponible. Bien hecho. –
Acepto, pero ¿no es esto un problema con el proxy que se aplicaría a cualquier servicio que utiliza una cookie de inicio de sesión automático? –
@Pekka que ha sido mi pensamiento/frustración durante la última semana. Luego, después de preguntarle al personal interno de TI, me enteré de que el propósito del filtro proxy era bloquear sitios como GMail, Facebook, Twitter, etc. Así que me hacen creer que no tienen acceso a sitios fuera del red donde inician sesión. Esta aplicación puede ser la única en la que se les puede emitir una cookie de inicio de sesión automático que está fuera de la red. – ixasilent