bezpieczenstwo sesji Opcje

[Kinool]

tak sie zastanawim jak bezpieczne sa seje? tzn chodzi mi o to czy jest mozliwe podamina ich zawartosci?? bo w sesji przekazuje haslo i kilka innych dosyc isotnych dla bezpieczenstwa informacji i jestem cikaw czy ktos moze spreparowac sesje wpisujac tam niepozadane zlemnie dane i dzieki temu np podszyc sie za kogos innego

nie chce sie dowiedziec jak to zrobic tylko czy jest to mozliwe dla zwyklego smiertelnika bo dla mistrzow fachu nie ma zabezpieczen nie do pokonania

[adwol]

tak sie zastanawim jak bezpieczne sa seje?

To zależy co będziesz trzymał po stronie klienta w cookie, hiddenach czy gdzie tam bądź. Jak użytkownik będzie miał u siebie w cookie zestaw uprawnień jaki mu przysługuje i Ty będziesz w aplikacji na tym bazował to jasne, że prosto będzie to złamać. Ale jeśli dasz mu tylko identyfikator sesji w postaci unikalnego, mocno losowego stringa, a resztę danych trzymał po stronie serwera, to szansa, że odgadnie identyfikator cudzej sesji, a tym samym dostanie sie do niej jest znikoma.
Generalnie po stronie klienta powinno trzymać się jak najmniej informacji (najlepiej tylko jakiś identyfikator, a resztę na serwerze w bazie indeksowanej tym identyfikatorem).

[Kinool]

w cookie nie przechowuje zadnych istotnych informacji tzn login, identyfikator sesji (zakodowany tzn nie w jawnej postaci) i kilka innych ale zadnych hasel czy uprawnien

uprawnienia mam w tabeli userow a jej poszczegolne elenty sa w sesji i na ich podstawie identyfikuje jakie user ma uprawnienia