c'è un sito web che visito e non riesco a comprendere appieno il processo di accesso e l'hash della sessione che crea e utilizza per tenere traccia degli accessi e simili.
qualcuno potrebbe aiutarmi a capire cosa succede nel server e cosa succede agli ID di sessione e alle informazioni di accesso? (salvato in un file cookie)
Inserisco il mio nome utente e passo, un cookie viene salvato sul mio PC chiamato PHPSESSID. contiene un hash di 32 caratteri (MD5?) dice che scade quando termina la sessione. se esci e accedi di nuovo (anche usando lo stesso nome utente) questo hash cambia. inutile menzionare, l'accesso con altri nomi utente rende anche questo cambiamento di hash.
- se questo hash viene creato dal mio nome utente e passa, perché cambia?
- è l'oggetto di sali relativi alla mia domanda?
- se i sali vengono utilizzati per generare questo hash e se i sali sono casuali, in che modo il lato server confronta gli hash nel loro DB, all'hash creato dal mio user / pass + salt random ?
sembra che le mie domande siano abbastanza distanti nella categoria. mi dispiace per questo.
questo sito web di cui sto parlando ha una cronologia di accessi misti (sebbene rari). come quando effettuo il login usando il mio nome utente / passaggio accidentalmente vado a un'altra sessione di utenti.
dov'è la debolezza della sicurezza di questa procedura? (che probabilmente è la ragione dei suddetti accessi a sessione mista)
Grazie per l'aiuto.