Question

Если обычный веб-сервер определяет пользователя по идентификатору сеанса (который хранится в файлах cookie) - что мешает мне заменить идентификатор сеанса другим доверенным пользователем, чтобы я мог выполнять такие действия, как аутентифицированный / авторизованный пользователь? Существуют ли другие механизмы для определения истинного сеанса?

lukas-reineke · Answer 1 · 02 мая 2018

Идентификатор сеанса обычно является безопасным сгенерированным токеном, срок действия которого истекает через некоторое время.
Так что да, если вы получите токен от другого пользователя, вы можете выдать себя за него.

На самом деле угадать этот токен гораздо сложнее, чем угадать пароль пользователя. И у вас есть только очень короткий период времени для этого, после которого токен истекает.

Безопасность сеанса HTTP и идентификатор сеанса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасность сеанса HTTP и идентификатор сеанса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов