ragazzi stavo facendo vari testi, quando ho visto che praticamente senza che io lo chiedo, viene salvata la sessione id dell'utente e viene mostrata in chiaro, è un problema? cioè viene salvata la stringa di <?=session_id() ?>, ma ho anche eliminato ogni cookie ma lui la salva da solo in automatico, io l'ho vista dalla gestione dei cookie sul mio mac. Ora un utente pratico avendo la stringa della sessione cosa può fare?
Le sessioni vengono salvate sul server ma hanno bisogno di un qualcosa su lato client che permetta al server di riconoscerlo. Per questo c'è l'id della sessione salvato.
ma non succede nulla giusto?
up
Il session id, come dice il nome stesso, identifica la sessione. Se tu stai navigando su un sito e hai come session id ABCDEF, allora io - venendo a conoscenza di quell'id - posso usarlo e navigare sul sito come se fossi te.
Puoi aumentare la difficolta' di impersonare un altro utente aggiungendo controlli su IP e version del browser, ma di sicuro non c'e' nulla.
Il punto fondamentale e' quel "venendo a conoscenza di quell'id", cosa per cui non basta un "utente pratico" ma modalita' di attacco abbastanza sofisticate (ed in genere non attuabili).
ma come posso nascondere la sessione? che poi si salva da solo, non è messo in nessun cookie!
Eh?Originariamente inviato da gueststar
ma come posso nascondere la sessione? che poi si salva da solo, non è messo in nessun cookie!
dico non c'è un modo per nascondere la sessione? perchè può essere visualizzata?
Puo' essere visualizzata solo da te che puoi vedere dentro i cookies del tuo browser (e ovviamente dal server a cui ti connetti), mica da chiunque.
Permessi di invio
Rispondi quotando