Отслеживание окончания сессии. - Предложения и пожелания

Уж не знаю баг это или фича...
Ситуация следующая:
- авторизовался на фронте сайта;
- зашел в некую статью, внизу форма добавления комментария (для зарегистрированных - в кратком виде);
- долго не трогал страницу, истекла сессия;
- написал комментарий (в краткую форму) и при попытке отправить его выдается сообщение "Пожалуйста, введите ваше имя".

При обновлении страницы теряется написанный комментарий.

Кстати, насколько я знаю, по правилам русского языка было бы правильно написать "Пожалуйста, введите Ваше имя".

Да, ты прав Саш, есть такой эффект. Правда если честно, я пока не могу быстро придумать, как её обойти. В том плане, как отловить на сервере сам факт истечения сессии у пользователя. По-хорошему, действительно в этом случае необходимо обновить форму, чтобы у пользователя была возможность ввести эти данные.

В принципе, была мысль, что можно добавить дополнительное поле в форму, заполнять только авторизованным, и внутри проверять, если заполнено, а пользователь гость, значит можно предположить, что его разлогинило и надо бы новую форму показать. Но с другой стороны, как отличить этот вариант, от варианта хака сайта?

Можно конечно пойти на хитрость, периодически дергать по таймеру сервер, и тем самым продлевать время сессии, но не думаю, что это правильно с точки зрения нагрузки на сервер.

Может быть у кого-то есть идеи?

В принципе, была мысль, что можно добавить дополнительное поле в форму, заполнять только авторизованным, и внутри проверять, если заполнено, а пользователь гость, значит можно предположить, что его разлогинило и надо бы новую форму показать. Но с другой стороны, как отличить этот вариант, от варианта хака сайта?

Ты же выводишь разные формы в зависимости от того авторизован пользователь или нет, т.е. на этом этапе можно просто ввести некий флаг "авторизованности" в том числе через hidden поле формы.

Можно конечно пойти на хитрость, периодически дергать по таймеру сервер, и тем самым продлевать время сессии, но не думаю, что это правильно с точки зрения нагрузки на сервер.

Это неправильно с точки зрения безопасности и вмешательства в работу администратора сайта... он же не зря выставил определенное время сессии.

Самый большой "криминал" - это не сам факт истечения сессии, а то, что теряется комментарий при повторной авторизации.

Получается, что при добавлении комментария необходимо проверить условия:
- был ли авторизован пользователь (т.е. была показана краткая форма);
- действует ли сессия в момент добавления комментария.

В данном случае рассматриваем вариант:
- да;
- нет;

Мне видится следующая последовательность действий:
1. сохранить комментарий для добавления после авторизации (для этого, по идее, необходимо будет запомнить пользователя, материал и все данные комментария) - видимо необходима некая таблица временных комментариев "разлогиненных" пользователей - данные из нее по каждому пользователю будут удаляться при добавлении комментария данным пользователем;
2. вывести уведомление об окончании сессии и необходимости повторной авторизации, можно еще показать и форму для незарегистрированных пользователей;
3. после авторизации показать все данные по комментарию к материалу данного пользователя.

Примерно так.

Мне видится следующая последовательность действий:
1. сохранить комментарий для добавления после авторизации (для этого, по идее, необходимо будет запомнить пользователя, материал и все данные комментария) - видимо необходима некая таблица временных комментариев "разлогиненных" пользователей - данные из нее по каждому пользователю будут удаляться при добавлении комментария данным пользователем;

Если для каждого из гостей (пусть даже которые недавно были авторизованными) что либо писать в базу, то это будет серьезной брешью в безопасности. Пишется эксплоит, который содержит форму, как бы от авторизованного пользователя, и с неё в цикле добавляются комментарии. Что происходит? Правильно, на сервере начинает забиваться таблица временных комментариев.

2. вывести уведомление об окончании сессии и необходимости повторной авторизации, можно еще показать и форму для незарегистрированных пользователей;

А откуда компонент достоверно узнает, что сессия  именно истекла? Мне кажется это не его задача, следить за сессиями, на это есть ядро. Я уже подумывал над вариантом системного плагина (в нем есть возможность перехвата события логаута), но мне кажется это несколько извращенный путь

Если для каждого из гостей (пусть даже которые недавно были авторизованными) что либо писать в базу, то это будет серьезной брешью в безопасности. Пишется эксплоит, который содержит форму, как бы от авторизованного пользователя, и с неё в цикле добавляются комментарии. Что происходит? Правильно, на сервере начинает забиваться таблица временных комментариев.

Эксплойт может попытаться добавить комментарий от якобы пользователя только перебором id пользователей, кроме этого в таблице будет храниться только 1 временный комментарий на одного пользователя - тот, который попытались отправить. Получается, что максимальный объем временной таблицы - это количество пользователей сайта. Кроме того, можно еще несколько усложнить перебор - использовать еще и имя пользователя, например. Хотя сама возможность такого перебора - это безусловный минус...
Значит нужно поставить некий признак истинности того, что данный пользователь только что разлогинился. Что-нибудь вроде "скрытой капчи". Правильно ли я понимаю, что если переменная передается через post ее невозможно подменить?  Если это так, то "скрытая капча" возможна, если нет, то невозможна.

А откуда компонент достоверно узнает, что сессия  именно истекла? Мне кажется это не его задача, следить за сессиями, на это есть ядро. Я уже подумывал над вариантом системного плагина (в нем есть возможность перехвата события логаута), но мне кажется это несколько извращенный путь

Компонент не должен следить за моментом окончания сессии. Он должен отрабатывать ситуации, в которых работает, т.е. должен быть корректный алгоритм работы и в данном случае. Пока он данную ситуацию не отрабатывает.

Эксплойт может попытаться добавить комментарий от якобы пользователя только перебором id пользователей, кроме этого в таблице будет храниться только 1 временный комментарий на одного пользователя - тот, который попытались отправить.

для того, чтобы проверить, что пришедший id это идентификатор какого-то конкретного пользователя, нужно сделать запрос в базу, а это тоже потенциально узкое место для атаки...

Правильно ли я понимаю, что если переменная передается через post ее невозможно подменить?

зачем подменять? я сделаю у себя на компе форму, которая будет именно методом POST гнать кривые данные на компонент установленный на чужом сайте... и все... для компонента эти данные слабо будут отличаться, от пришедших с родной формы... потому как и http_referer и другие поля можно подменить...

Компонент не должен следить за моментом окончания сессии. Он должен отрабатывать ситуации, в которых работает, т.е. должен быть корректный алгоритм работы и в данном случае. Пока он данную ситуацию не отрабатывает.

согласен, но я пока не вижу корректно решения этой задачи... разработчики ядра не предоставляют готового решения, и с этой проблемой может столкнуться ЛЮБОЕ другое расширение...