Я столкнулся с этим примером с страницы безопасности Ruby (http://guides.rubyonrails.org/security.html). Он задает этот сценарий:Простой вопрос о сеансе
- Пользователь получает кредиты, сумма хранится в сеансе (что в любом случае плохое, но мы сделаем это для демонстрационных целей).
- Пользователь покупает что-то.
- Его новый, более низкий кредит будет сохранен в сеансе.
- Темная сторона пользователя заставляет его перенести файл cookie с первого шага (который он скопировал) и заменить текущий файл cookie в браузере.
- У пользователя есть кредит.
Я немного смущен, так как я всегда понимал, что значение cookie сеанса является просто идентификатором для состояния сеанса, управляемого сервером. В этом примере говорится, что состояние файла cookie контролирует состояние сеанса и что состояния сеанса на сервере поддерживаются с течением времени.
Может кто-нибудь объяснить это? Благодарю.
Звучит неправильно для меня тоже. –
Я не знаю, как сеанс реализован в Ruby on Rails. Но я бы сказал, что это сценарий атаки при использовании cookie вместо сеанса, где данные хранятся на стороне клиента, а не на стороне сервера. – Gumbo