Názory k článku
Nebezpečné prolomení ověřování identity a správy sezení

Proste, si davejte pozor na svoje sezeni :-P

To je příliš konkrétní rada. Stačilo by napsat: Buď opatrný! A všechny články o bezpečnosti by mohly být smazány.

Zaciatok clanku je nedopracovany a velmi slaby. Hned na zaciatku sa spomina
"Seriál OWASP – Open Web Application Security Project" pricom ani nie je vysvetlene co ten projekt vlastne je. Potom je tam hodeny nejasny farbny obrazok s popiskou "Obecne informace:". Co je to vektor utoku?
Neslo by to napisat tak aby to pochopil aj niekto kto sa bezpecnostou primarne nezaobera, alebo kto o OWASP pocuje prvy krat?

Nicméně problémy session jsou tam vyjmenovaný hezky. Lepší by sice bylo, aby třeba z session fixation a session hijacking vedly odkazy na vysvětlení, ale je to snad článek pro programátory, a ne pro laiky, ne? A beztak i nelaik neprogramátor umí na Internetu hledat.

No ako kostra buduceho clanku je do dobre.

p.s. Ked vydim ako niekdo spomina sessions a IP otvara sa mi nozik vo vrecku.

Není třeba. Jsou sítě a intranety, kde není důvod nekontrolovat při session i IP adresu. Jinde se to naopak nedoporučuje.
Ale není problém se zařídit dle webový aplikace a místa, kde je provozovaná.
Z hlediska uživatelů je ale změna IP adresy v krátkym sledu čuňárna, to mi nevymluvěj ani páni serveristi.
Ani v době IPv6 to nemusí bejt tak horký, jak se to upeče. Kromě toho, bude to problém uživatele pak. Proč by se měl autor třeba free aplikace donekonečna zajímat o zčuněný balancery nebo nesmyslně nastavený widle? Takovýmu to třeba může bejt ukradený, narozdíl od komerčních aplikací, kde by štěkot uživatelů moc na oblibě služby nepřidal.

ked vydis???

Je dobre, ze se autor nepredvadi utocenim na cizi aplikace, ale ze pouziva WebGoat. Pokud jde o serial, dil navazuje a je k veci. Mozna jenom mezi jednotlivymi dily je dlouhy cas.

Teorie fajn. Ale co z toho vyplyne pro programátora? První otázka, která mě napadla, a jejíž zodpovězení bych tu čekal: jak je na tom session management v běžně používaných webových jazycích (PHP, ASP), případně v nejběžněších frameworcích?
Další otázky:
Co z toho plyne pro konstrukci session managementu? Dá se postavit bezpečný session management? Jak bude vypadat?

autor nepopisuje, co utocnik/obet dela, ale co klika. to je dost lol.
ctenari nejsou sekretarky ale lide s vice/mene nenulovym IT know-how

Velmi pekny a srozumitelný článek. Těm mudrcům - přispěvovatelům nademnou - napište tedy do rootu svůj vlastní článek, když se Vám toto nelíbí. Ale oni asi o Vás nemají zájem co??