dbo:abstract
|
- A munkamenet (angolul session) a számítógép-hálózatoknál két számítógép közötti kommunikáció olyan formája, mely során az egyik (vagy mindkét) gép átmenetileg adatokat tárol a másikról; ennek segítségével egy keresztül is lehet állapotokat megőrizve kommunikálni. Az eljárás legelterjedtebb alkalmazása a böngésző és webszerver közötti HTTP kapcsolat kibővítése egy speciális azonosító, a session cookie segítségével. A webszerver elküldi ezt az azonosítót a böngészőnek, amikor az először lekér egy oldalt, a saját adatbázisában pedig ehhez az azonosítóhoz kötve tárol egy bizonyos ideig különféle adatokat (például azt, hogy a felhasználó be van-e jelentkezve). A böngésző minden további oldallekérésnél visszaküldi a kapott azonosítót, amiből a szerver tudja, hogy ugyanarról a felhasználóról van szó, amelyiknek az azonosítót elküldte (pusztán az IP-címből ezt NAT, proxy, vagy más hasonló technikai megoldás használata esetén nem lehetne kitalálni), és megfelelően átalakított oldalt tud neki küldeni (pl. a belépés link helyett beállításaim szerepel). Elővigyázatlanul előállított vagy kezelt munkamenet-azonosító kód ellopására vagy kitalálására számos különböző módszer létezik; az ilyen támadások neve (session hijacking). (hu)
- A munkamenet (angolul session) a számítógép-hálózatoknál két számítógép közötti kommunikáció olyan formája, mely során az egyik (vagy mindkét) gép átmenetileg adatokat tárol a másikról; ennek segítségével egy keresztül is lehet állapotokat megőrizve kommunikálni. Az eljárás legelterjedtebb alkalmazása a böngésző és webszerver közötti HTTP kapcsolat kibővítése egy speciális azonosító, a session cookie segítségével. A webszerver elküldi ezt az azonosítót a böngészőnek, amikor az először lekér egy oldalt, a saját adatbázisában pedig ehhez az azonosítóhoz kötve tárol egy bizonyos ideig különféle adatokat (például azt, hogy a felhasználó be van-e jelentkezve). A böngésző minden további oldallekérésnél visszaküldi a kapott azonosítót, amiből a szerver tudja, hogy ugyanarról a felhasználóról van szó, amelyiknek az azonosítót elküldte (pusztán az IP-címből ezt NAT, proxy, vagy más hasonló technikai megoldás használata esetén nem lehetne kitalálni), és megfelelően átalakított oldalt tud neki küldeni (pl. a belépés link helyett beállításaim szerepel). Elővigyázatlanul előállított vagy kezelt munkamenet-azonosító kód ellopására vagy kitalálására számos különböző módszer létezik; az ilyen támadások neve (session hijacking). (hu)
|