czy jak przeniose cookies z 4programmers na inny komputer to automatycznie po otwarciu strony będę zalogowany? Jeśli tak to jak się powinno zabezpieczać przed tym.
0
0
Jeżeli sesja nie jest w żaden sposób powiązana z IP czy user-agentem po stronie serwera, to powinno to zadziałać.
0
Prawidłowa odpowiedź: To zależy., wydrukuj, opraw w ramkę, powieś na ścianie.
Słowo-klucz: sesja. Na sesję składają się informacje po stronie i serwera i klienta. Klient przy każdym zapytaniu przesyła swój identyfikator sesji, czy to w parametrze zapytania (obecnie prawie niespotykane) lub w nagłówku, poprzez ciasteczka. Serwer wykorzystuje przesłany SID (identyfikator sesji) do identyfikacji użytkowników.
Słowo-klucz: ciasteczko. Ciasteczko to forma przechowywania informacji po stronie klienta, w dawnych czasach zamiast nagłówka Set-Cookie użytkownik dostawał treść strony z linkami zawierającymi SID. Ciasteczko odsyłane jest do serwera, który nakazał jego utworzenie. Ma ono też swoją ważność, po określonym czasie wygada, ciasteczka bez ustawionej daty wygaśnięcia wygasają w momencie zamknięcia przeglądarki.
Typowy scenariusz logowania: po zweryfikowaniu użytkownika przekazuje mu się jego SID. Nie ma to związku z rzeczami typu "Zapamiętaj mnie", zazwyczaj jedyną różnicą po stronie klienta jest czas ważności ciasteczek, o ile jakaś w ogóle jest. Serwer musi pamiętać podstawowe informacje o sesji, tj. kim jest użytkownik danej sesji i ew. jak długo dana sesja jest ważna.
Do momentu wygaśnięcia sesji (lub ciasteczek, chociaż to mniejszy problem ponieważ użytkownik może swoje ciasteczka edytować przedłużając im sztucznie życie) przeniesienie SIDu może umożliwić porwanie sesji. Jeżeli serwer przechowuje dodatkowe informacje o danej sesji, wspomniany przez @nava adres IP i User-Agent, to przy każdym zapytaniu sprawdzane są nagłówki i źródło zapytania. Brak "permanentnego" zalogowania nie zmienia absolutnie nic.
4programmers oczywiście umożliwia porwanie sesji, źródło podające się za posiadacza danego SIDu nie jest weryfikowane. Zażalenia należy kierować to szanownego twórcy tego systemu.