-
Sesja i cookie
Od kilku dni próbuje zrozumieć cookie i wpis do tabeli session. Z znajomym doszliśmy do wniosku, że wystarczy w ciastkach podać bbuserid i bbpassword bez bbsessionhash i bez problemu można się zalogować na czyjeś konto znając tylko te 2 wartości. Pisałem o tym do vb i mnie olali. Tak samo np. jak ja bede zalogowany na forum wyczyszczę tabele session odświeżę przeglądarkę i powinno mnie wylogować a jednak tego nie robi WTF?
-
No ok, ale skoro znasz czyjś numer użytkownika i hasło, to po co się bawić przez ciasteczka? Po prostu wpisuję to w przeglądarce i się loguje.
Ale skoro ktoś chce sobie zapisać infromacje o logowaniu w ciasteczkach, to choćby nie wiem, co zapisać i jak to kodować, wystarczy skopiować tylko ciasteczka na drugi komputer i będzie to działało. Dlatego w każdym poradniku o bezpieczeństwie krzyczą, żeby nie zapisywać haseł w kafejkach internetowych, szkole, pracy itp.
Jeśli zaś chodzi o sesje, to tylko identyfikator sesji jest pamiętany w przeglądarce (konkretnie w cookies lub w adresie). same zmienne leżą po stronie serwera, o ile mi wiadomo. Często przeglądarki nawet nie zapisują id sesji w ciasteczkach a tylko pamiętają ją. W takim wypadku wyczyszczenie ciasteczek nie pomoże, musisz zamknąć przeglądarkę i ponownie ją otworzyć.
-
W vb ustawiłem pamiętanie sesji z ip 255.255.0.0 a i tak jak przeniose ciastko to działa