Originariamente inviato da markzzz
addirittura O_O quindi non c'è neanche controllo sulla connessione. uno sniffa i pacchetti e non ha neanche bisogno di user e password. gli basta l'id della sessione (scopre la mia, la modifica alla sua e entra nella mia area).


uhm, ma cosa cambia scusa? uno sniffa i pacchetti, vede la variabile secret nel cookie, la copia, la incolla in un suo cookie, aspetta che la mia sessione finisca, e mi frega l'accesso


l'unica cosa che mi vien da fare è quella descritta in questo articolo : un utente può anche copiare il mio user_agent, ma se quando arriva la sua richiesta l'user agent del suo browser è diverso, non può accedere. ovviamente questo vale per le sessioni, per i cookie non credo funzioni...


....ma se quando l'user torna sul sito, con il cookie valido, invece di ripristinare la vecchia sessione ne crei una nuova, non fai prima?