несколько бэкэндов и сессии

[Eugene]

Каждый раз менять тоже напряжно - как вариант привязывать сессию к ip - 
тогда "мужику в середине"
будет гораздо сложнее украсть сессию. Так же ограничить время бездействия.

Евгений

>AY> С сессиями она работает примерно так: если клиент прошел авторизацию
>AY> даем ему куку со случайно сгенерированным id, и пишем в сессию этот id
>AY> и login. Далее по этому id мы идентифицируем клиента.
>
>если куку id не менять - то man in the middle легко делается.
>если менять то данная схема плохо работает когда идет параллельно
>несколько запросов (например фреймы) каждый из которых отсылает
>текущее значение куки. уже проходили :)
>