Dlaczego zaleca się stosowanie do takich rzeczy jak np. logowanie sesje a cookies uznaje się za niebezpieczne? Gdzieś kiedyś czytałem, że niby cookie zapisuje się na dysku i z tych zapisanych plików mozna jakoś rozszyfrowac hasło, no ale przeciez zeby cookie sie zapisało to najpierw chyb trzeba podac to hasło.. i tego nie rozumiem.

Troche dziwne pytanie

Sesja - dane sa zapisywane na dysku lub w bazie serwera, user dostaje tylko ID sesji i tylko to jest zapisywane na jego PC.

Ciastka - wszystko jest zapisywane na PC usera, wiec jesli zapiszesz login i haslo to mozesz to odczytac.

No to juz chyba rozumiem, czyli cookie mozna odczytac tylko wtedy gdy juz ktos np. się zaloguje i ciastko zostanie zapisane, jak się myle to niech mnie ktoś poprawi.
dzieki za odp.

Cookie serwer wysyla tuz przed wyslaniem strony. A odbiera razem z rzadaniem wyswietlenia wybranej strony (pod warunkiem ze nazwa domeny i sciezki sie zgadzaja, itd.)
Czyli cookie mozna zapisac na dowlonej stronie (nie koniecznie str. logowania) i odczytac na dowolnej.(j.w.).
User moze wyslac dowolna wartosc cookiesow -- w taki sposob jak moze wyslac dodatkowe dane GET -- tylko trudniej to zrobic za pomoca standardowych narzedzi jak przegladarka www (w operze jest latwo ).

Kazda sesja ma swoj identyfikator (ID) a w ciastku na kompie usera jest on wlasnie przechowywany -- dzieki czemu skrypt wie ktore dane sesji uzyc dla danego usera (posiadajacego ciastko z ID).

W sesji jest taki problem, ze jesli przejmiesz ID osoby ktara sie zalogowala mozesz bez logowania wejsc do serwisu, no chyba ze jest jeszcze jakis mechanizm identyfikujacy, ale wieszkosc rzeczy da sie obejsc, ale to wymaga poswiecenia czasu.