История изменений
Исправление
Legioner,
(текущая версия)
:
Идентификатор сессии генерируется случайным образом и он достаточно длинный, чтобы его невозможно было подобрать перебором. Но его можно посмотреть в настройках браузера, если есть доступ к компьютеру.
Рекомендуется во-первых ограничивать время действия сессии (например одним часом), во-вторых запоминать и проверять IP-адрес клиента.
Помимо этого по умолчанию JavaScript-код может читать значения cookies. Если тебе это не надо, рекомендуется выставлять флажок HTTP-ONLY для сессионных кук.
Исходная версия
Legioner,
:
Идентификатор сессии генерируется случайным образом и он достаточно длинный, чтобы его невозможно было подобрать перебором. Но его можно посмотреть в настройках браузера, если есть доступ к компьютеру.
Рекомендуется во-первых ограничивать время действия сессии (например одним часом), во-вторых запоминать и проверять IP-адрес клиента.