A:::
Хоть сессию подделать нельзя, но существуют следующие непредвиденные случаи:
* на компьютере посетителя побывал злой хакер, который поставил злую программу, ворующую пароли от интернета (статья N##) и номера сессий
* между компьютером посетителя и сервером сидит злой хакер и видит все, что передается. Конечно, есть защищенный (зашифрованный) протокол SSL, но это увы везде не внедрить
* к компьютеру нашего посетителя подошел злой сосед и стащил этот номер сессии
Как видите, все основано на том, что кто-то что-то у кого-то стащит. Но это уже не проблема программиста
B:::
Поэтому злоумышленнику остаются следующие возможности:
· на компьютере пользователя стоит «троян», который ворует номера сессий;
· злоумышленник отлавливает трафик между компьютером пользователя и сервером. Конечно, есть защищенный (зашифрованный) протокол SSL, но им пользуются не все;
· к компьютеру нашего пользователя подошел сосед и стащил номер сессии.
Такие ситуации, основанные на том, что кто-то что-то у кого-то стащит, в общем, не входят в компетенцию программиста.
===================================================
A::::
Запомните главное - если суметь передать идентификатор от одной страницы (PHP-скрипта) до другой (до следующего вызова с нашего сайта), то мы сможем различать всех посетителей.Больше, от не удобного для программиста Web\'а, ничего не требуется. Так как мы выбрали очень больше число, то не существует ни малейшего опасения, что злой хакер подделает число, тем самым воспользуется чужой областью данных. Запомните еще одну главную мысль - подделать сессию или идентификатор нельзя. Число из 128 бит (это 2 в 128 степени) в десятичном представлениим имеет 38 нулей.
B:::
Итак, мы умеем передавать идентификатор от одной страницы (PHP-скрипта) к другой (до следующего вызова с нашего сайта), а значит мы можем различать всех посетителей сайта. Так как идентификатор сессии – это очень большое число (128 бит), шансов, что его удастся подобрать перебором, практически нет.
===================================================
Eto pro paragrafi, esli je vi prochtete vnimatelno obe stati to u vas skoree vsego slojitsya sleduyushee mnenie: avtor vtoroy stat\'i proizvel na svet kastrirovannuyu versiyu stat\'i nomer odin dopolniv
ee svoimi skudnimi znaniyami (minut za desyat do etogo pocherpnutih iz man\'a)