[Erez | TrustMedia.co.il]

ציטוט:

נכתב במקור על ידי daNN

נתקלתי בהרבה שטויות שאתה זורק בפורום תגבה את מה שאתה אומר ב-הוכחות.
אתה טועה. שוב.
וממשיך להטעות אנשים, חבל.. אם אתה לא יודע פשוט אל תנסה לעזור.

זיוף Sessions אפשרי בדיוק באותה רמה של זיוף Cookies.

סשיין זה לא מידע שנשמר אצל המשתמש אז הוא לא יכול לזייף אותו. אצל המשתמש נשמר רק מזהה ייחודי ובשרת נשמרים הסשיינים עם הערכים שלהם ואז לפי המזהה הייחודי זה שולף את הערך.
לכן אי אפשר לערוך את הערך של סשיין.
מה שכן אפשרי זה לגנוב את המזהה הייחודי של מישהו, אבל בכל מקרה אין למשתמש גישה לערך של הסשיין ואין שום טעם להצפין אותו. מספיק להזין שם את האיידי של המשתמש או שם המשתמש וזהו.
כמובן שאם השרת שאתה מאוחסן בו הוא בעל אבטחה אפסית אז זה כבר סיפור אחר ואפשר להשיג גישה למידע, אבל במקרה הנורמלי אין טעם להצפין את הסשיין