Ich brauche einen Code in JavaScript, um einen Benutzer zu bestimmen, entschied ich mich, seine Sitzungs-ID zu verwenden. Ist es sicher, wenn ich die Sitzungs-ID eines Benutzers selbst offen lege?Ist es unsicher, dem Benutzer seine eigene Sitzungs-ID zur Verfügung zu stellen?
Kann er mit der ID eine Website-Sitzung hacken oder ändern?
Er kann die Sitzungs-ID trotzdem sehen, indem er die Cookies untersucht (bei deaktivierten Cookies wird es normalerweise als GET-Argument an jeden Link angehängt).
Also nein, er kann nichts Böses mit seiner eigenen Session ID tun.
Ich glaube nicht, dass es ein großes Sicherheitsproblem geben würde, indem einem Benutzer seine eigene Sitzungs-ID angezeigt wird, da diese ID pro Besuch generiert wird. Solange diese Sitzungs-ID nicht an jemanden weitergegeben wird, gehört sie auch nicht dazu, Sie sollten gut sein.
Auch erwähnenswert, dass PHP eine Session-ID in der URL hinterlassen kann, wenn Benutzer-Cookies deaktiviert sind und wenn 'session.use_only_cookies 1' und/oder' session.use_trans_sid 0' gesetzt sind. –
Das ist, was ich mit "mit Cookies deaktiviert gemeint ist es ist in der Regel sogar an jeden Link als GET-Argument angehängt" – ThiefMaster
Standard-Konfiguration in der Regel hängt es nicht in Abwesenheit von Cookies, da Benutzer Lesezeichen/Sende Links mit Sitzungs-IDs in ihnen. –