|
|
|
|
|
|||
2.Uloga sesija i kolačićaHTTP protokol ne čuva stanje sesije. To znači da u ovom protoku nema mogućnosti da se tekuće stanje sesije sačuva između dve transakcije. Kada korisnik zahteva određenu stranicu, a potom uputi još jedan zahtev, HTTP ne omogućava da se utvrdi da li su oba zahteva došla od istog korisnika. Osnovna ideja upravljanaja sesijama jeste da omogući praćenje određenog korisnika tokom cele njegove sesije na Web lokaciji. Po ovom principu je i kreirana aplikativna logika Moodle sistema, pri čemu je omogućeno: prijavljivanje korisnika u sistem, ali isto tako omogućeno je i upravljanje brojnim drugim „procesima“. Time je obezbeđeno da korisnik može upravljati procesima (recimo ažuriranje Wiki strane), ali i da na kraju odustane. U tom sistemu kreira se sesija i privremeneno beleže vrednosti, ali se te vrednosti ne beleže u bazu, jer bi na taj način baza ubrzo postala prepuna nedovršenih operacija (delimičnih podataka). Bez obzira da li je reč o sesiji ili kolačićima princip rada je veoma sličan. Svakoj PHP sesiji se dodeljuje nasumično generisan šifrovan broj koji generiše identifikator sesije i čuva ga na klijentskom računaru sve dok traje sesija. Tekuće sesije je moguće videti u zavisnosti od vrste Web čitača. Za Mozillu je to opcija: Tools -> Page info -> Security ->Wiev Cookies, ali se isto tako identifikator može smeštati na klijentski računar u obliku kolačića (u slučaju Moodle arhitekture) ili prosleđivati unutar URL-a. Kolačići predstavljaju kratak blok podataka koje skriptovi smeštaju na klijentske računare. Ako se koristi SSL, rezervisana reč secure znači da će i vrednost ovog kratkog bloka podataka biti prosleđena kriptovanim kanalom. Ukoliko se ne koristi ovaj protokol podaci se šalju u obliku plaintext-a i takvi sistemi su znatno osetljiviji na napade. U odeljku xx. Register globals i XSS napadi biće detaljnije predstavljene neki od metoda krađe kolačića i sesija.
|
|
||
|
|
|
|
|
|||