Wątek: Czy mo??liwa jest zmiana warto??ci sesji przez gracza ?

Ee, dumdas, ale tutaj chodzilo o to czy gracz moze ingerowac w zmienne zapisane w tablicy $_SESSION. I niby jak wylaczenie ciasteczek ma graczowi dac dostep do zmiennych sesji, ktore przeciez sa na serwerze. Ciasteczka to cos zupelnie innego.
Sugeruje Ci odpalic jakis kursik php i poczytac o tablicy superglobalnej $_SESSION, o tym czym jest $_GET (i przy okazji $_POST), wreszcie o ciasteczkach. Bo mocno mieszasz.

Sorka, musiałem ??le zrozumieć... Kursów to ja się naczytałem. Sprawdziłem to co napisałem i okazało się, że po wyłączeniu ciastek sesje po prostu nie są przekazywane zamiast być wyświetlanymi.
Wynika z tego, że sesje mają związek z ciastkami, o czym pisano tam, gdzie o tym czytałem (nie pamiętam już gdzie), tlyko ja ??le to zrozumiałem - sorka.
Ale zato inaczej można edytować wartość sesji. Nawet na cgvia.pl PHPSESSID jest przekazywane w ciastku. Można zmienić jego wartość nawet z poziomu przeglądarki (w operze: narzędzia -> preferencje -> menadżer ciasteczek -> wybieramy folder cgvia.pl a w nim... o proszę: PHPSESSID).

zmień proszę bardzo tylko że to nic ci nie da bo serwer zapisuje ip

Tak ale nie wszędzie, wynikają tego gro??ne sytuacje w których może dość do podmiany sesji, atak typu session fixation... Oj jednak kursów ludzie się za mało naczytaliście ;D...

wątpię żeby jakiś serwer miał wyłączoną tą opcje

Ja raczej wątpię żeby miał włączoną taką opcje, bynajmniej nie wiem o tym by mechanizm sesji w php taką opcje w ogóle posiadał...

"zmień proszę bardzo tylko że to nic ci nie da bo serwer zapisuje ip "
Tu myślałem że odnosisz się do skryptu smf który ma stosowne zabezpieczenia ale np. w surowym vallheru atak typu session fixation to żaden problem.

nie o to mi
chodzi o to że przy tworzeniu sesji serwer zapisuje ip osoby która ją utworzyła
i przy próbie pobrania/zmiany danych z sesji sprawdzane jest to ip z ip klienta

dlatego jeśli chcesz mieć coś w rodzaju do "zapamiętaj mnie" przy logowaniu to musisz mieć ciasteczka które pozwolą przywrócić sesje nawet przy zmiennym ip

PIERW trzeba mieć jeszcze PHPSESSID osoby atakowanej.........


OFC nie mówię tu o "ręcznym" tworzeniu sesji. :P

Tak Kiri, ale id sesji można zakosić komuś np. atakiem XSS.
"nie o to mi
chodzi o to że przy tworzeniu sesji serwer zapisuje ip osoby która ją utworzyła
i przy próbie pobrania/zmiany danych z sesji sprawdzane jest to ip z ip klienta

dlatego jeśli chcesz mieć coś w rodzaju do "zapamiętaj mnie" przy logowaniu to musisz mieć ciasteczka które pozwolą przywrócić sesje nawet przy zmiennym ip"
Serwer - jak mam to rozumieć?
Php nie posiada mechanizmu anty kradzieży sesji(zapisywanie i sprawdzanie ip) ale można takowy samemu napisać i odnośnie "zapamiętaj mnie" - ciacho można spreparować...

No bo trzeba sprawdzac czy sesja i ip ze soba graja, wtedy nikt sesji nie ukradnie... ale to juz zupelnia inna sprawa.