Originariamente inviato da gasparirob
si certo... il problema è che è possibile "recuperare" la sessione di un altro utente, e utilizzare i suoi privilegi...
Bhe sì, anche i quattrini in banca non sono mai veramente sicuri. C'è anche gente che è evasa da Alcatraz :-)

Il fatto è che per ritrovarti con un hijacking della sessione bisogna che gli dai un motivo a un hacker: un sito molto grande tipo myspace che qualche adolescente trova utile per farsi notare dalle coetanee coronato di futile gloria... o una transazione finanziaria appetitosa... allora magari qualcuno ci si mette a provare a rubarti la sessione.
Ma poi, si presume tu sappia difenderti da attacchi XSS o di fissaggio della sessione. E comunque anche allora possono farcela lo stesso, o incidere sul server, infilare le mani sotto la gonna, entrati nel database, comprometterti tutto...
E allora non ti rimane che la glock di back up LOL.

Diversamente dal che affidare alla sessione una chiave e leggerla alla pagina seguente per verificare il percorso con una specie di breadcrumbs lato server, è non solo un metodo sensato, ma anche l'unico.

In altre parole il fatto che anche le sessioni presentino dei rischi, non ti deve scoraggiare dall' usarle: sono come tutto il resto nella vita; tu attraversi la strada e adotti qualche cautela, ma ciò non toglie che ogni volta che la attraversi sei una potenziale preda per arricchire le statistiche... :-)
La sicurezza assoluta non esiste, nemmeno in programmazione.