bezpieczenstwo sesji Opcje

[Kinool]

tak sie zastanawim jak bezpieczne sa seje? tzn chodzi mi o to czy jest mozliwe podamina ich zawartosci?? bo w sesji przekazuje haslo i kilka innych dosyc isotnych dla bezpieczenstwa informacji i jestem cikaw czy ktos moze spreparowac sesje wpisujac tam niepozadane zlemnie dane i dzieki temu np podszyc sie za kogos innego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

nie chce sie dowiedziec jak to zrobic tylko czy jest to mozliwe dla zwyklego smiertelnika bo dla mistrzow fachu nie ma zabezpieczen nie do pokonania (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[adwol]

tak sie zastanawim jak bezpieczne sa seje?

To zależy co będziesz trzymał po stronie klienta w cookie, hiddenach czy gdzie tam bądź. Jak użytkownik będzie miał u siebie w cookie zestaw uprawnień jaki mu przysługuje i Ty będziesz w aplikacji na tym bazował to jasne, że prosto będzie to złamać. Ale jeśli dasz mu tylko identyfikator sesji w postaci unikalnego, mocno losowego stringa, a resztę danych trzymał po stronie serwera, to szansa, że odgadnie identyfikator cudzej sesji, a tym samym dostanie sie do niej jest znikoma.
Generalnie po stronie klienta powinno trzymać się jak najmniej informacji (najlepiej tylko jakiś identyfikator, a resztę na serwerze w bazie indeksowanej tym identyfikatorem).

[Kinool]

w cookie nie przechowuje zadnych istotnych informacji tzn login, identyfikator sesji (zakodowany tzn nie w jawnej postaci) i kilka innych ale zadnych hasel czy uprawnien

uprawnienia mam w tabeli userow a jej poszczegolne elenty sa w sesji i na ich podstawie identyfikuje jakie user ma uprawnienia