Conosco tutti i problemi relativi alla fissazione della sessione e al dirottamento. La mia domanda è davvero elementare: voglio creare un sistema di autenticazione con PHP. Per questo, dopo il login, vorrei solo memorizzare l'id utente nella sessione.Cosa memorizzare in una sessione?
Ma: ho visto alcune persone fare cose strane come generare un GUID per ogni utente e sessione e archiviarlo invece dell'id utente nella sessione. Perché?
Il contenuto di una sessione non può essere ottenuto da un cliente - o no?
Non capisco come questo dovrebbe migliorare la sicurezza: se un hacker mette le mani sulle intestazioni HTTP di qualcun altro, copierà semplicemente l'intera intestazione del cookie - e così via. Come dovrebbe un hacker ottenere un ID di sessione senza sniffare? – eWolf
Ecco perché ho detto "fa poco per proteggere la sessione se è coinvolto lo sniffing perché il nuovo cookie viene inviato insieme al cookie di sessione php". Ho modificato per aggiungere "il falso senso di sicurezza" per guidare il punto a casa. – webbiedave
@eWolf Puoi ottenere un id di sessione senza sniffare in scenari stupidi in cui la sessione viene inviata tramite GET e non tramite POST: quando l'utente copia l'URL e lo incolla da qualche parte, ha dato via il suo id di sessione. Ad ogni modo, questo è irrilevante. –