Все наши прежние заверения в том, что после аутентификации пользователя и начала сессии можно спокойно предположить, что переменные сессии заслуживают доверия, не вполне соответствуют действительности. Дело в том, что для вскрытия идентификаторов сессий, передаваемых по сети, можно организовать пассивное прослушивание этой сети (перехват набора данных).
Кроме того, если идентификатор (ID) сессии передается в области GET-запроса URL-адреса, он может появиться в файлах регистрации внешних сайтов. Единственный по-настоящему безопасный способ предотвращения вскрытия заключается в использовании протокола защищенный сокетов — Secure Socket Layer (SSL) и в запуске веб-страниц, использующих вместо протокола HTTP протокол HTTPS. Эта тема выходит за рамки данного курса, но за подробностями настроек безопасности веб-сервера можно обратиться по адресу http://www.apache-ssl.org.
Завершение сессии | Предупреждение хищения сессии |