Итак, я написал программное обеспечение около 6 лет назад и собираюсь выпустить версию 2.0. В последнее время люди жалуются на то, что данные от одного клиента были переданы другому. Виновник - использует несколько открытых вкладок, но браузеры совместно используют один сеанс. (Я получил "о, кстати, это уже давно происходит ...")
К счастью, я был осведомлен до того, как запустил 2.0. Мое решение состоит в том, чтобы создать случайное имя сеанса во время входа в систему. Затем это имя постоянно публикуется или попадает на другие страницы приложения. Работает отлично. Недостатком является то, что кто-то может посмотреть на исходный код и увидеть что-то вроде <input type="hidden" name="session" value="LSDT2341335054" /> Не говоря уже о том, что в сгенерированном отчете (с использованием GET) в URL будет отображаться "& session = LSDT2341335054".
Это было очень быстрое исправление, и оно прекрасно работает, но я не мог найти ничего лучшего там. Я работаю сам, поэтому у меня нет адвоката. Помимо того, что они немного небрежны, они представляют какой-то реальный риск для этого метода? То, что я не вижу проблем с этим, не означает, что их не существует.
Спасибо, Дейв