Кража куки с phpsessid

321
25 февраля 2017, 07:22

На сайте session_start(3600); После этого у пользователя на ПК появляется кука с идентификатором сессии.

  1. Правильно ли я понимаю что украв после этого куку с компьютера пользователя можно без проблем зайти на сайт под его логином и работать там но сделать это только в течение часа (3600 сек)

  2. Со стороны сайта этому противостоять довольно сложно. Если только ip в сессию записывать и сравнивать?

Answer 1
  1. Совершенно правильно.
  2. Запись IP тоже не поможет на 100%. Обычно перехват если и делается, то в момент работы сессии. А IP запросто можно подменить в запросе. Простого решения тут нет. Один и тот же легальный пользователь может в одном и том же браузере на отдном и том же компьютере открыть две и более сессий.И это должно быть совсем легально. А нелегальный пользователь может заменитьпроцесс обмена одной или более сессий, вклинившись в середину этой цепочки обмена.
READ ALSO
Mysql Insert по условию
PHP

Mysql Insert по условию

Доброго времени сутокВ общем, есть у меня такая необходимость: Имеется таблица:

 466
Электронный дневник [требует правки]
PHP

Электронный дневник [требует правки]

Можете отправить готовые исходники электронного дневника

 390
Подключение php файлов к wordpress
PHP

Подключение php файлов к wordpress

Существует форма для заявки пользователя , где указан атрибут action = "handlerphp"

 301
помогите настроить auth в laravel 5.3!
PHP

помогите настроить auth в laravel 5.3!

Здравствуйте, делаю shopping-cart по урокам youtube-пользователя Mindspace (https://wwwyoutube

 314