Можно ли просмотреть данные сеанса с веб-сайта?

Question

У меня есть firecookie плагин для Firefox, и когда я просматриваю значения сессии, это выглядит как какой-то хэш.Таким образом, его значение зашифровано.Но как я могу просмотреть фактические данные?Возможно ли это?

Answer 1

То, что вы видите, это просто идентификатор сеанса. Сессия остается на сервере, ее значение не видно в клиентском приложении.

Answer 2

Как сказал @Vooza, значение PHPSESSID - это просто уникальный идентификатор сеанса.Данные хранятся на сервере безопасным способом.

Нет шифрования или хеширования данных сеанса для получения идентификатора, они никак не связаны, что не позволяет кому-либо получить доступ к данным исключительноиз идентификатора сессии.Злоумышленник может получить к нему доступ путем перехвата сеанса, но я не буду вдаваться в подробности.

Если вы просто хотите отладить значения сеанса, вы можете вызвать: var_dump($_SESSION);, чтобывывести все значения сеанса.Я был бы очень осторожен с тем, какую информацию вы храните в сеансе, пока вы отлаживаете ее.$_SESSION реагирует так же, как и любой другой массив, поэтому вы можете вывести значения, как если бы вы использовали любой другой массив.

Answer 3

Это зависит от того, как данные хешируются или шифруются, а также от того, находятся ли данные в cookie-файле или нет.

Если файл cookie является только ссылкой на данные, хранящиеся на сервере, вы можете их не увидеть.

Если данные находятся внутри файла cookie, но зашифрованы, то, возможно, их можно будет расшифровать, но, вероятно, это будет сложно. В этом смысл расшифровки :-)

Если данные находятся внутри файла cookie, но зашифрованы, то их можно будет просмотреть. Некоторые файлы cookie декодируются в формате Base 64. Вы можете декодировать их, вставив их в онлайн-декодер base64. Просто найдите base64 и декодируйте, и вы найдете его. ASP использует cookie, называемый viewstate. Вы можете проверить это, используя, например, Fiddler (http://www.fiddler2.com). Существует также множество других схем.