0

それで、私は約6年前にいくつかのソフトウェアを作成し、バージョン2.0をリリースしようとしています。最近、ある顧客のデータが別の顧客に転送されたとの不満が出ています。犯人は複数のタブを開いているが、ブラウザは単一のセッションを共有している。(「ああ、ちなみに、これはしばらくの間起こっています...」)

幸い、2.0を起動する前に気づきました。私の解決策は、ログイン時にランダムなsession_nameを作成することです。その後、この名前は常にアプリケーションの他のページに投稿または取得されます。それは素晴らしい働きをします。欠点は、誰かがソースコードを見て<input type="hidden" name="session" value="LSDT2341335054" />、(GETを使用して)生成されたレポートのURLに「&session=LSDT2341335054」が表示されることは言うまでもありません。

これは非常に迅速な修正であり、うまく機能しますが、これ以上良いものは見つかりませんでした。私は一人で働いているので、どんな種類の悪魔の擁護者もいません。少しずさんなこと以外に、この方法に対する本当のリスクはありますか?これに問題が見当たらないからといって、それらが存在しないという意味ではありません。

ありがとう、デイブ

4

1 に答える 1

0

この新しいシステムは、以前のセッション システムの上に追加されたレイヤーにすぎないのでしょうか。ユーザーは自分のセッション ID しか見ることができません。

問題を実際に見ることはできません。ここでは完全に安全であるように見えます。Facebook のメッセージなどで使用されているものを思い出します。

decezeが言ったように、Cookieを使用して値が一致するか、または同様の方法を確認できます。

于 2011-02-15T04:13:54.100 に答える