Zaciatok clanku je nedopracovany a velmi slaby. Hned na zaciatku sa spomina
"Seriál OWASP – Open Web Application Security Project" pricom ani nie je vysvetlene co ten projekt vlastne je. Potom je tam hodeny nejasny farbny obrazok s popiskou "Obecne informace:". Co je to vektor utoku?
Neslo by to napisat tak aby to pochopil aj niekto kto sa bezpecnostou primarne nezaobera, alebo kto o OWASP pocuje prvy krat?
Nicméně problémy session jsou tam vyjmenovaný hezky. Lepší by sice bylo, aby třeba z session fixation a session hijacking vedly odkazy na vysvětlení, ale je to snad článek pro programátory, a ne pro laiky, ne? A beztak i nelaik neprogramátor umí na Internetu hledat.
Není třeba. Jsou sítě a intranety, kde není důvod nekontrolovat při session i IP adresu. Jinde se to naopak nedoporučuje.
Ale není problém se zařídit dle webový aplikace a místa, kde je provozovaná.
Z hlediska uživatelů je ale změna IP adresy v krátkym sledu čuňárna, to mi nevymluvěj ani páni serveristi.
Ani v době IPv6 to nemusí bejt tak horký, jak se to upeče. Kromě toho, bude to problém uživatele pak. Proč by se měl autor třeba free aplikace donekonečna zajímat o zčuněný balancery nebo nesmyslně nastavený widle? Takovýmu to třeba může bejt ukradený, narozdíl od komerčních aplikací, kde by štěkot uživatelů moc na oblibě služby nepřidal.
