| Autor | Zpráva | ||
|---|---|---|---|
| spartan13 Profil |
#1 · Zasláno: 21. 2. 2011, 21:48:51
Dobrý den,
rád bych se zeptal jak je to se session a bezpečností Při přihlašování uživatelů řeším, jestli je samotné session bezpečné a stačí mi např. do session["log"] uložit přezdívku přihlášeného uživatele. Nebo je nutné do session přiřadit jak přihlašovací jméno, tak i heslo a při každé operaci ověřit platnost hesla. Aneb jestli nelze, aby "útočník" např. podsunul novou hodnotu (přezdívku) a web by tak oklamal a nemusel znát ani heslo. |
||
| Alphard Profil |
#2 · Zasláno: 21. 2. 2011, 22:12:39
Session data se ukládají na serveru, uživatel je nemůže změnit. Identifikace je ale řešena přes cookies (je možná i přes proměnnou v url, ale to je často zakázané). Podvržením cookie je teoreticky možné přihlásit se jako někdo jiný, záleží, co vše se na serveru kontroluje. Získat cizí cookies by nemělo být snadné.
|
||
|
Časová prodleva: 15 let
|
|||
0