Rik (
link):
Klik om eerdere quotes te tonen
Sevvlor (
link):
Rik (
link):
Lennard (
link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Ze zijn al http only en secure only, maar ik meen mij te herinneren dat het geen sluitende beveiliging gaf en er desondanks mogelijkheden waren om de cookies te tonen, al kan ik dat nu niet zo snel meer terugvinden.