| |
|
|
| | Привет всем
Вообщем есть сайт, там авторизация по механизму сессий. Когда человек заходит на сайт, ему сразу выдается индификатор сессии, потом ему надо авторизоваться. Авторизация проходит через HTTPS протокол, но новый индификатор сессии пользовутлю не дается, просто выдается пароль и имя. Получается смысл HTTPS пропал, тк индификатор сессии передали в открытом виде а начале, когда чел зашел на сайт ? Прав ли я ?
Спасибо заранее | |
| |
|
|
| |
|
|
| |
для: buka
(17.05.2007 в 21:08)
| | | Пока пользователь не прошёл регистрацию, этим идентификатором сессии делать нечего, лишь после прохождения регистрации регистрируется переменная сеанса... вот теперь можно воровать идентификатор. | |
| |
|
|
| |
|
|
| |
для: Valick
(17.05.2007 в 21:21)
| | |
вот теперь можно воровать идентификатор
|
:-)) | |
| |
|
|
| |
|
|
| |
для: buka
(17.05.2007 в 21:08)
| | | кто ж Вам злобный буратино? Выдавайте его позже. уже в https | |
| |
|
|
