Abuse Melding

Je hebt een klacht over de onderstaande posting:

23-01-2011, 02:17 door Anoniem

Session hijacking here we come. Technisch zijn er geen andere oplossingen om dat te voorkomen. De wetgever maakt Nederlandse websites hiermee onveiliger. http://en.wikipedia.org/wiki/Session_hijacking Om users te herkennen, heb je sessies nodig. Zonder cookie, dan krijg je een session ID in de URL (in PHP is dat b.v. PHPSESID), wat resulteert in: Session fixation, where the attacker sets a user's session id to one known to him, for example by sending the user an email with a link that contains a particular session id. Of net waar de software het in zal neerzetten, maar je moet ergens in de volgende request een stuk data mee kunnen verzenden. En die data wil je niet via GET laten functioneren, gezien dat te makkelijk misbruikbaar is. Blijft over: POST en COOKIE. Waarbij POST niet altijd bruikbaar/wenselijk is. Dus kom je terug op cookies. Ik laat mijn website per X requests een nieuwe cookie plaatsen (na het trashen van de oude), om de cookie moeilijker raadbaar te maken (en dus de login ...

Beschrijf je klacht (Optioneel):

captcha