Lasciando perdere l'SSL, mi dici:
Un esempio?Originariamente inviato da andr3a
[...]sistemi affidabili di autenticazione dove ogni operazione, prima di essre fatta, deve controllare scrupolosamente che a richiamare tale operazione sia stato proprio l'utente Pippo da sito_A.
Nel senso che basta un controllo del tipo seguente e sto sicuro?
EDIT: il semplice canonico controllo della sessione non serve a nulla.ad esempio io ogni "eliminazione" la faccio passare da una pagina di conferma in cui c'è un form con un campo hidden contente la sessione dell'utente, e il metodo che elimina ovviamente esegue il controllo che la sessione sia corretta.