Autor Zpráva
spartan13
Profil
Dobrý den,
rád bych se zeptal jak je to se session a bezpečností

Při přihlašování uživatelů řeším, jestli je samotné session bezpečné a stačí mi např. do session["log"] uložit přezdívku přihlášeného uživatele.

Nebo je nutné do session přiřadit jak přihlašovací jméno, tak i heslo a při každé operaci ověřit platnost hesla.

Aneb jestli nelze, aby "útočník" např. podsunul novou hodnotu (přezdívku) a web by tak oklamal a nemusel znát ani heslo.
Alphard
Profil
Session data se ukládají na serveru, uživatel je nemůže změnit. Identifikace je ale řešena přes cookies (je možná i přes proměnnou v url, ale to je často zakázané). Podvržením cookie je teoreticky možné přihlásit se jako někdo jiný, záleží, co vše se na serveru kontroluje. Získat cizí cookies by nemělo být snadné.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: