Cytat
Cytat
Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura...
Przepraszam, a o co chodzi?
Pewnie o to, ze ktos moze "przypadkiem" wpisac sobie (w URL'u) ID sesji , ktore akurat jest uzywane przez kogos z wiekszymi uprawnieniami (np. admina). Wydaje mi sie, że jest to równie małoprawdopodobne co trafienie 6 w totka

Chyba, że ktoś zapusci maszyne, ktora "przeleci" przez wszystkie mozliwe ID, ale to zajeloby za duzo czasu to raz (wszakże wszystkich ID przy std ustawieniach jest jedyne 34^32 przy zalozeniu, ze liter w alfabecie jest 24), skoro robilby to automat to musialby wiedziec po czym odroznic strone w wersji zalogowanej od zwyklej i pewnie sa jeszcze jakies utrudnienia, ktore nie wpadly mi do glowy.
A jesli nawet az tak sie tego kolega
woocash boi to mozna przy logowaniu wpisywac do sesji IP i potem przy sprawdzaniu sesji sprawdzac tez IP. Zawezi to grupe potencjalnych "hackerow" do jednej osoby (samego zalogowanego, ktory napewno zna haslo, wiec nie musi sie wlamywac

) lub calej podsieci zalogowanego jesli jest on za NAT'em (wtedy w razie znaleznienia "hackera" latwo wymierzyc mu samosad

).
Gorzej, jak uzywa proxy ale skad potencjalny hacker bedzie wiedzial, ze jest sprawdzanie IP... a nawet jak sie domysli to skad bedzie wiedzial, ze zalogowany np. admin korzysta z proxy, a nawet jesli

to bedzie musial jeszcze trafic te wlasciwe...