...
To jde proti predstave vyvojaru o tom, jak by
mela vypadat bezpecnost webovych aplikaci.
Ona jako nejaka webova aplikace spoleha na to jestli jsi zavrel prohlizec?
Nechci se zastavat minoritniho prohlizece, ale takova aplikace by mi
bezpecna
neprisla.
Na to, ze uzivatel zavre prohlizec, potazmo zneplatni session cookie, se
samozrejme spolehat neda. Chtel jsem pouze upozornit na potencialni zradu,
ktera muze zpusobit naruseni urcite vrstvy bezpecnostni cibule. Dobre, mel
jsem napsat "nekterych" vyvojaru.
I kdyz jsou zadavatele, kteri by mohli mit ukon zavreni v pravidlech pouzivani
pro sve uzivatele (typicky zamestnance). Ale ti by meli mit chovani session
store Firefoxu podchycene.
PeS:
Me zase prijde v dnesni dobe hodne drze vynucovat si zavreni prohlizece,
kdyz v nem neni jen ta ma aplikace. A firefox s taby a groupovanim pouzivam
hodne ;-)
Ja samozrejme taky, mam hromadu oken a karet, nespoleham se na platnost
session cookies. A verim, ze mam bezpecny pocitac.
Kdyz je na tebe nekdo drzy, je na tobe se branit. :) Napriklad mych aplikaci
se to netyka, nabizeji Logout a kdyz je s klientem dohodnuto, tak i expiraci
session na serveru.
T.
|
