Question

Я сталкивался с этим примером со страницы безопасности Ruby (http://guides.rubyonrails.org/security.html).. Здесь описывается такой сценарий:

Пользователь получает кредиты, сумма сохраняется в сеансе (что плохоидея в любом случае, но мы сделаем это в демонстрационных целях).
Пользователь что-то покупает.
Его новый, более низкий кредит будет сохранен в сеансе.
Темная сторона пользователя вынуждает его взять cookie с первого шага (который он скопировал) и заменить текущий cookie в браузере.
Пользователь получил свой кредит обратно.

Я немного сбит с толку, так как всегда понимал, что значение cookie сеанса является просто идентификатором состояния сеанса, управляемого сервером. В этом примере говорится, что состояние cookie контролирует состояние сеанса и что состояния сеанса на сервереподдерживается со временем.

Может кто-нибудь объяснить это? Спасибо.

Danny Thomas · Answer 1 · 02 сентября 2010

Это верно для сеансов на стороне сервера, однако этот пример взят из 2.6 Атаки воспроизведения для сеансов CookieStore.CookieStore хранит то, что обычно сохраняется в сеансе на стороне сервера, в файле cookie и, следовательно, на клиенте, что делает его уязвимым для атаки воспроизведения в примере.

Простой вопрос о сессии

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Простой вопрос о сессии

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов