Задать вопрос
sorry_i_noob
@sorry_i_noob
информационная-безопасность

У пользователя хранится ID сессии в куки. Таким образом, если злоумышленник доберется до компьютера жертвы, он может просто скачать себе ее cookie?

Здравствуйте. Разбираюсь с сессиями и куки. Прочитал ответы вот здесь:
https://ru.stackoverflow.com/questions/90280/%D0%A...
Конкретно заинтересовал вот этот абзац:
Как правило, сессии реализуются используя cookies и идентификаторы сессий. Т.е. сервер со своей стороны создает уникальный идентификатор, например, «1a2b3c» (session_id про который вы справшивали), а клиента просит его запомнить. Обычно — при помощи cookies, говоря что-то в духе Set-Cookie: PHPSESSID=1a2b3c (где «PHPSESSID» — имя сессии, обычно, оно только одно, вести параллельно несколько сессий нужно редко). Со своей стороны сервер где-то (зависит от реализации, иногда это файл, например, /tmp/1a2b3c, иногда запись в БД, иногда еще что-то) хранит различные данные, которые ему приказано связывать с этой сессией. Например, имя пользователя.

Получается, что если злоумышленник доберется до компьютера жертвы, он может просто скачать себе ее cookie? И сидеть со своего компьютера под ее учетной записью?
  • Вопрос задан
  • 184 просмотра
1 комментарий
Подписаться 2 Простой 1 комментарий
Решения вопроса 1
DevMan
@DevMan
Да, может. Точно так же, как злоумышленник, укравший ваш кошелёк, может пользоваться вашими деньгами/картами.
Ответ написан
4 комментария
4 комментария
Пригласить эксперта
Ответы на вопрос 1
profesor08
@profesor08
Если все манипуляции проводятся на одном устройстве и в одной сети, то подмена сработает, только вот смысла в этом нет никакого. Ведь вся соль в том, чтоб подменить на произвольной машине и оказаться авторизованным. А раз есть доступ к машине, то проще украсть пароль и надеяться что этого хватит, а не плясать с заменой, которая сработает только на очень примитивных сайтах, которые на 99.9999% бесполезны.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Требуется Pure PhP + Symfony (Обязательно) разработчик для CRM/ERP
26 апр. 2024, в 14:07
3000 руб./в час
Спарсить каталог сайта
26 апр. 2024, в 14:06
15000 руб./за проект
Доработка бота на языке C++ (D) (достойная оплата труда)
26 апр. 2024, в 14:06
55555 руб./за проект
Ещё заказы