הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

daNN · 30-10-11, 01:20

ציטוט:

נכתב במקור על ידי Erez.info

סשיין זה לא מידע שנשמר אצל המשתמש אז הוא לא יכול לזייף אותו. אצל המשתמש נשמר רק מזהה ייחודי ובשרת נשמרים הסשיינים עם הערכים שלהם ואז לפי המזהה הייחודי זה שולף את הערך.
לכן אי אפשר לערוך את הערך של סשיין.
מה שכן אפשרי זה לגנוב את המזהה הייחודי של מישהו, אבל בכל מקרה אין למשתמש גישה לערך של הסשיין ואין שום טעם להצפין אותו. מספיק להזין שם את האיידי של המשתמש או שם המשתמש וזהו.
כמובן שאם השרת שאתה מאוחסן בו הוא בעל אבטחה אפסית אז זה כבר סיפור אחר ואפשר להשיג גישה למידע, אבל במקרה הנורמלי אין טעם להצפין את הסשיין

הדבר היחיד שמזהה את המשתמש זה קוד ראנדומלי שנשלח עם כל בקשה אם תוקף יכול לנחש את הערכים הנכונים הוא יכול להתחזות למשתמש.
וזאת הכוונה בזיוף סיישן רציתי לציין שיש דרך כזאת.