Quindi stavo facendo alcuni test con il cookie dell'ID di sessione php. So che i dati sono memorizzati sul server, tuttavia, un cookie con un ID univoco è memorizzato in modo che il server possa riconoscere il client durante la navigazione. Quindi, quello che è successo è che ho ottenuto l'ID del cookie e ho aperto firefox su un altro computer, ho modificato quel cookie di phpsession con l'id che avevo sul computer dove ho effettuato l'accesso ... e bam, proprio come mi aspettavo, sono stato loggato a.
Tutto quello che potevo fare per applicare la patch era controllare che l'agente utente http e i primi tre gruppi di numeri (xxx.xxx.xxx.123) dell'IP non cambino (per evitare il problema dell'IP dinamico). Voglio sapere però se l'uso di una connessione HTTPS permanente renderà il contenuto dell'ID di sessione php non dirottato, come qualcuno che si avvicina al mio computer, che prende il contenuto del cookie e lo utilizza per se stesso.
Domanda extra, so che la sicurezza attraverso l'oscurità non è buona ma c'è un modo per cambiare il nome del cookie in un acronimo come ps o sid?
EDIT: Non penso che questa domanda sia un duplicato perché nella domanda collegata il processo per impostare questi flag e i valori di configurazione non è menzionato.