PhpSessionID ne demek bilmiyorsunuz sanırım? Halbuki ben sadece basit bir varsayım yazmıştım. Biraz daha açalım.
Bir kullanıcı, diğer bir kullanıcının “PHPSESSID” değerini biliyorsa o halde, o kişinin oturumunu da bilmiş olur. Yani X kişisi kendi tarayıcısında Y kişisinin “PHPSESSID” değerini girer ve o kişinin oturumuna giriş sağlamış olur.
Örnek video
Dileyen internette açık kaynaklarda phpsessionid
güvenliği hakkında detaylı bilgiler okuyabilir.
Phpsessionid için iyi kurgulanmamış bir güvenlik senaryosunda, bu bilginizi elde eden birisi bilgiyi javascript ile taçlandırırsa, o halde bu olay benim bahsettiğimden de büyük bir güvenlik açığına dönüşür.
İlk mesajınıza bakılırsa session kullanımının doğrudan güvenlik açığı oluşturduğu varsayımında bulunmuşsunuz gibi anlaşılıyor. Böyle bir durum söz konusu değil. Neyi neden kodladığınızı bilmiyorsanız, session id'ye gelene kadar bir sürü güvenlik zaafiyeti yaratmışsınızdır zaten. PHPSESSID değeri çerez yapılandırması doğruysa öyle kolay ulaşılabilecek bir şey değil. Açıkçası ne ilk mesajdaki tavsiyeyi anlayabildim, ne de bu gönderiyle arasındaki bağlantıyı. Evet, ne yaptığınızı bilmiyorsanız güvenlik açığı yaratabilirsiniz. Eee. Session kullanmayalım mı? Mesaj nedir yani.