Citat:
mikigen:
Dobro plus_minus, i kad se to odradi, onda ce da rade sesije i kad je zabranjeno snimanje kolacica? Jel to to?
Ne zabrana snimanja, nego zabrana postavljanja od strane klijenta.
Jer, ako javaskriptom možeš da napucaš kuki, to onda znači da može SVAKO, pa i da manipuliše postojećim, onako kako ti ne bi hteo,
ako recimo posetiš tu i tu lokaciju, preko svoje aplikacije, itd. ako taj neko zna kako. I to nije dobro, jel' da?
Korišćenje kolačića ( browser_cookie HTTP_cookie, funkcija setcookie() dakle .. ) to jednostavno nikada ne treba isključivati kao mogućnost onda kada se nađe kao zgodna opcija.
Ako želiš da postavljaš kolačiće koji nisu u `security` loncu, dakle kolačić koji ne sadrži vrednost ili deo vrednosti na osnovu koje se korisnik, recimo loguje na nalog,
ovo ti je dovoljno.
Code (php):
setcookie('Orientation', 'Left', 7200);
$_COOKIE['Orientation']='Left';
.. i sa tim će kukijem "javaskripta da se igra" ako treba, jer samo takve kolačiće javaskripta i može da postavi - ukoliko serveru nije rečeno da samo php može da napucava nove i isto tako da ih uklanja.
Druga linija, ručno upucavanje u $_COOKIE superglobalnu jeste tu da bi u daljem radu PHP imao instant vrednost tek postavljenog kolačića.
U protivnom, tek na sledeći page reload se dobija $_COOKIE['Orientation'] sa svojom vrednošću.
A ako postaviš cookie kao u primeru iz `gornjeg`, prethodnog posta, javaskriptom ćeš moći samo da eventualno vidiš vrednost i toliko.
Što se sesija tiče, njih treba koristiti 'normalno', kao jedan od mehanizama za prenošenje glomaznih podataka, serijalizovanih nizova, itd. između zahteva - u pozadini,
tako da korisnik pojma nema šta se u backendu dešava.
Najgora opcija za sesije jeste baš onako kako ti je Predrag opisao, ako se radi o - sajtu koji je online za široke narodne mase ... taj takav sajt sa takvim setup-om onda postaje test poligon za hakere početnike.
Ukoliko se radi lokalna aplikacija, koja ne ide na net, to onda nije nikakav security threat i ne mora da se razmišlja o
session hijacking-u.
about:networking