关于会话的简单问题

时间:2010-09-02 12:20:59

标签: session cookies state

我从Ruby的安全页面(http://guides.rubyonrails.org/security.html)中看到了这个例子。它构成了这种情况:

  • 用户收到积分,金额存储在会话中(无论如何这都是个坏主意,但我们会为了演示目的而这样做。)
  • 用户购物。
  • 他的新的,较低的学分将存储在会话中。
  • 用户的黑暗面迫使他从第一步(他复制的)中取出cookie并替换浏览器中的当前cookie。
  • 用户有信用。

我有点困惑,因为我一直都知道会话cookie的值只是服务器控制的会话状态的标识符。此示例表示cookie的状态控制会话的状态,并且服务器上的会话状态会随着时间的推移而得到维护。

有人可以解释一下吗?感谢。

1 个答案:

答案 0 :(得分:2)

对于服务器端会话也是如此,但此示例来自CookieStore会话的2.6重播攻击。 CookieStore存储通常在cookie中的服务器端会话中持久存储的内容,因此存储在客户端上,这使得它可以在示例中对重放攻击负责。