Wikipedie

Relace (informatika): Porovnání verzí

Interaktivně procházet historii
← Přejít na předchozí porovnáníPřejít na další porovnání →
Smazaný obsah Přidaný obsah
VizuálníWikitext
M-sche (diskuse | příspěvky)
6 675 editací
m Typografie
m Úprava rozcestníku za pomoci robota: SEO - změna odkazu/ů na Search Engine Optimization; kosmetické úpravy
Řádek 19:
Nevýhodou přenosu přes cookies je to, že některé archaické internetové prohlížeče je nepodporují (těch je ovšem mizivé procento) a ty soudobé dovolují cookies vypnout (opět, podíl uživatelů s vypnutými cookies je zanedbatelný). Jinou potenciální nevýhodou může být to, že pokud by potenciální útočník získal přístup k adresáři na serveru, do kterého se cookies ukládají, dostal by se i k session. Výhodou je to, že se nepřenáší v těle požadavku, nikolik jeho URL.
 
Naopak, session v URL danou adresu znepřehledňují, činí ji příliš dlouhou, nezapamatovatelnou a působí proti principům [[Search Engine Optimization|SEO]] (mohou dokonce „rozmělňovat“ odkazovatelnost toho kterého odkazu). Při práci s aplikací s tímto způsobem předávání se jednotlivá session navíc ukládají i do historie prohlížeče a záložek. Je-li například (proti bezpečnostním zásadám) hodnota session generovaná na základě přístupových údajů uživatele, může se k nim útočník dostat snadněji než v případě ukládání do cookies. Některé webové aplikace (např. [[phpMyAdmin]]) proto při přihlašování vyžadují možnost ukládat cookies.
 
=== Session předávané jako cookie ===
Řádek 40:
Informace obsažená v relaci je uložena na webovém serveru pomocí ID relace, které je generované jako výsledek prvního požadavku uživatele (webového prohlížeče). Uchovávání údajů v ID relace (uživatelské jméno, číslo účtu, atd.) na webovém serveru se provádí pomocí různých technik včetně využití lokální paměti a [[Prostý databázový soubor|prostých databázových souborů]].
 
V situacích, kde více webových serverů zároveň musí znát stav relace (jak je typické v prostředí [[Počítačový cluster|clusteru]]), musí být informace o relaci sdíleny mezi uzly clusteru, které využívají software webového serveru. Mezi metody pro sdílení stavu relace mezi uzly clusteru patří:
 
* [[IP multicast]]ing informace o relaci mezi členskými uzly (viz JGroups jako jeden příklad této techniky).
Řádek 62:
* '''Session sidejacking''' – pokud se SESSIONID přenáší spolu s URL adresou, může útočník využít [[packet sniffing]] (sledování packetů), ze kterých hodnotu SESSIONID přečte a (dokud se původní uživatel neodhlásil a jeho relace nevypršela) může se pokusit přihlásit s touto SESSION.
* Pokud se session ukládají v [[cookie]]s, data z nich jsou uložena na serverovém pevném disku. Dostane-li se tedy útočník k nim, může je (ty z nich, jejichž platnost ještě nevypršela) zneužít.
* Útočník může pro získání session zkombinovat sociální inženýring s útokem typu [[cross-site scripting]], kdy přiměje uživatele již přihlášeného do aplikace spustit odkaz se záškodným kódem, jenž získá SESSIONID oběti a odešle ho útočníkovi.
 
=== Prevence ===
Citováno z „https://cs.wikipedia.org/wiki/Relace_(informatika)