Какими из них можно манипулировать на стороне клиента

Question

У моего друга было собеседование, и ему задали несколько вопросов с несколькими вариантами ответов. Один из вопросов был

Какими из них можно манипулировать на стороне клиента: данные cookie, данные сеанса, удаленный ip, пользовательский агент

Я бы сказал, что сессия является единственной, которую вы не можете включить в основной список (я имею в виду, вы можете ее взломать и т. Д., Но вы не можете изменить ее данные, как это наводят на вопросы)

Что ты думаешь?

Answer 1

Данные cookie и пользовательский агент, очевидно, могут быть изменены по желанию.

Так же, как вы сказали, что самими данными сеанса нельзя манипулировать, вы можете только захватывать сеансы, украсть куки, используемые для связи пользователя с сеансом, ...

Удаленный IP - сложный вызов. Поскольку http основан на TCP, вы не можете подделать произвольные удаленные IP-адреса. Вы можете скрыть свой реальный IP используя прокси. Но чтобы подделать другой IP-адрес, вы должны иметь возможность получать пакеты, адресованные этому IP-адресу. И вы обычно можете сделать это, только если вы участвуете в маршруте к этому IP. Связанный старый вопрос Проблемы безопасности приложений: насколько легко подделать IP-адрес?

Answer 2

Данные cookie и пользовательский агент могут полностью предоставляться клиентом, т. Е. Ими можно манипулировать.

IP-адрес может быть подделан (с локальным доступом и / или техническими и организационными ноу-хау), но он всегда будетбыть в допустимом формате, т.е. никогда не быть произвольной строкой.

Данные сеанса управляются самим сервером и не могут быть изменены.Однако злоумышленник может установить связь с другим сеансом, например, путем захвата файла cookie другого пользователя.