| |
|
|
| | Скажите пожалуйста безопасная ли сессия, можно ли ей доверить личные данные в период работы на сайте, и вообще практикую ли взлом сессии или перехват вообще вам виднее иё слабые стороны расскажите немного про это | |
| |
|
|
| |
|
|
| |
для: Dazzl
(14.07.2011 в 12:16)
| | | Да, сессия довольно безопасна, так как данные, которые в ней храняться не покидают сервер. Для передачи сессии от страницы к странице, как правило, используется cookie (которую при налиции XSS-инъекции можно перехватить), однако даже получив контроль над аккаунтом атакуемого, злоумышленник не может получить данные из сессии, как собственно и сам посетитель (если только вы ясно их где-нибудь не выводите). | |
| |
|
|
| |
|
|
| |
для: cheops
(14.07.2011 в 12:20)
| | | То что при переходе со страницы на страницу данные сохраняются в куках для меня новость!!
так значить негодяй может обратиться к кукам и сесия у него на руках?
которую при налиции XSS-инъекции можно перехватить
при наличии где? на сайте у меня или у негодяя в атакуемом коде? я допустим ещё не знаю что это и следовательно этих инъекции у меня на сайте нет. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(14.07.2011 в 12:28)
| | | >То что при переходе со страницы на страницу данные сохраняются в куках для меня новость!!
Нет-нет, данные не храняться у клиента, у него храниться только уникальный идентификатор сессии SID, по которому сервер определяем, какому клиенту, какая сессия принадлежит. Сами данные при этом остаются на сервере, но получив SID злоумышленник может прикинуться добропорядочным посетителем. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(14.07.2011 в 12:28)
| | | >при наличии где? на сайте у меня или у негодяя в атакуемом коде? я допустим ещё не знаю что
>это и следовательно этих инъекции у меня на сайте нет.
При наличии у вас. По сути это возможность вставки JS-кода, который позволит извлечь cookie и направить их на сторонний ресурс. | |
| |
|
|
