Sesiones en PHP de almacenamiento por defecto los datos en un archivo en el servidor (/tmp
/) y almacenar una cookie de identificador general PHPSESSID
(que será un número hexadecimal, por ejemplo f00f8c6e83cf2b9fe5a30878de8c3741
).
Si tiene el identificador de otra persona, entonces en teoría podría usar su sesión.
Sin embargo, la mayoría de los sitios comprueban para asegurarse de que el agente de usuario sea coherente y también regeneran el identificador de sesión cada puñado de solicitudes para mitigar esto.
En cuanto a adivinar una sesión, es posible, pero extremadamente improbable. Sería más fácil adivinar los números de tarjetas de crédito (un grupo más pequeño de caracteres (0-9
sobre 0-9a-f
) y una suma de comprobación para validarlo). Aunque, por supuesto, también necesitaría el código de caducidad y seguridad.
+1 buena lista :) – alex