Stack Overflow на русском Asked by ZELIBOBA on January 11, 2021
Как хакер может получить данные куки и что он может сделать имея ключ сессии? Какая разница куки или сессия если есть возможность украсть куки а затем использовать id сессии и получить необходимые данные?
Хакер может, например, прослушать сеть, притвориться на время сервером.
Имея ключ сессии, можно делать то, что может делать пользователь.
Куки можно использовать для хранения ключа сессии.
Eсли данные хранить в куки они будут балтаться туда-сюда по сети, если в сессии на сервере -- лежать на сервере. У ключа объем меньше.
Ключ сессии может быть и не в куки, а в sessionStorage, например.
Answered by Sergei Kirjanov on January 11, 2021
Приведу отрывок из статьи.
Куки используются в HTTP для аутентификации сессий, чтобы распознать конкретного юзера в общей массе. Однако куки не гарантируют совершенно никакой безопасности, потому что создавались не для этого и передаются по Сети в открытом виде. Кто угодно может взять чужие куки и залогиниться под чужим аккаунтом, даже не зная пароля. Существует масса простых утилит для перехвата чужих куки в открытых сетях, например в бесплатном Wi-Fi-хотспоте (взять хотя бы Firesheep и DroidSheep).
Answered by Aziz Umarov on January 11, 2021
Get help from others!
Recent Questions
Recent Answers
© 2024 TransWikia.com. All rights reserved. Sites we Love: PCI Database, UKBizDB, Menu Kuliner, Sharing RPP