Quando si implementa un'applicazione basata sul Web, quanto sono sicure le variabili di sessione contro la manipolazione manuale oltre lo scopo del mio codice?
vale a dire. quando un utente è autenticato, se dovessi inizializzare una variabile di sessione authenticated
come true
, sono quindi in grado di eseguire un semplice controllo booleano contro la sessione e lo stato autenticato dall'utente, prima di eseguire qualsiasi operazione sensibile.
Tuttavia, sarebbe possibile per me inizializzare una variabile di sessione authenticated
e impostarla su true
senza passare effettivamente un controllo di sicurezza? In sostanza, qualcuno potrebbe ingannare la mia app nel pensare che l'utente sia stato autenticato, quando in realtà non lo è?