- Используйте собственный генератор идентификаторов сессий, с контролируемой вами , PavelR (??), 13:56 , 21-Ноя-16 (1)
> ps: php 7.0 и обновление до 7.1 в дистрибутиве из > официальных источников не предусмотрено :( Используйте собственный генератор идентификаторов сессий, с контролируемой вами уникальностью хешей, основанной на уникальном значении, заданном в конфиге каждой рабочей ноды или её хостнейме. 1) А что, в php-7.1 это как-то решено? 2) Если там это решено, то обычный путь - это собирать свои пакеты, пусть и на базе дистрибутивных правил сборки. 3) вы поддержали nginx inc финансово? Тогда там есть https://www.nginx.com/products/session-persistence/ 4) Еще есть какие-то открытые подобные модули, как описано в https://habrahabr.ru/post/231523/
- 200 совпадений чего имен сессионных файлов это у вас клиенты некоторые у кот, Sw00p_aka_Jerom (ok), 02:14 , 24-Ноя-16 (5)
>около 200 совпадений на ~ 50 000 сессий200 совпадений чего ? имен сессионных файлов ? это у вас клиенты некоторые у которых менялись айпишки передавали уже назначенный PHPSESSIONID и прыгали по бекандам, у sha512 коллизий на 50к итераций (если взять в качестве ключа микросекунды запроса) количество коллизий практически равны нулю. пс: http://www.acros.si/papers/session_fixation.pdf session.use_strict_mode=On можно ещё юзать централизованное хранилище вроде мемкешеда, либо базы.
|