AWWW-1st3.6-w13.tresc-1.0-Slajd5
Zmienne Cookies
Zmienne Cookies umożliwiają zapisywanie stanu aplikacji WWW po stronie klienta HTTP. Są często wykorzystywane do zapamiętywania danych wprowadzonych wcześniej przez użytkownika oraz flag/wartości generowanych przez aplikację WWW. Należy zwrócić uwagę na to, że zawartość zmiennych Cookies nie jest chroniona przed ingerencją użytkownika końcowego. Korzystając z narzędzi typu Local Proxy użytkownik może zarówno obejrzeć, jak i zmodyfikować wartości zmiennych Cookies. W związku z tym nie należy traktować zmiennych Cookies jako wiarygodnego i bezpiecznego mechanizmu przechowywania informacji po stronie klienta HTTP. Ponieważ w zasadzie nie istnieje żaden inny bezpieczny mechanizm służący do tego celu, to należy przynajmniej rozważyć możliwość szyfrowania wartości zmiennych Cookies tak, aby uniemożliwić użytkownikowi końcowemu ich odczyt lub merytoryczną modyfikację.
Przykład przedstawiony na slajdzie pokazuje jak za pomocą narzędzia Local Proxy o nazwie Odysseus może zostać odczytana i zmodyfikowana wartość zmienne Cookie. Klient HTTP wysyła zmienną Cookie o nazwie "czyAdministrator" i wartości "false". Intuicja podpowiada nam w jaki sposób można teraz przejąć uprawnienia administratorskie w przykładowej aplikacji...
