نشست(N/A)
دورهای از تعامل بین کاربر و وبسایت که از زمان ورود تا خروج کاربر ادامه دارد.
نشست (Session) چیه؟
خلاصه در یه جمله: Session یعنی از وقتی لاگین میکنی تا وقتی لاگاوت میکنی، سایت تو رو میشناسه!
فرض کن وارد یه ساختمان شدی. نگهبان بهت یه کارت میده. تا وقتی کارت رو داری، میتونی بری هر جا. وقتی میری بیرون، کارت رو میدی. Session همینه — لاگین میکنی، سایت یه Session ID بهت میده، تا وقتی لاگاوت نکردی یا Session منقضی نشده، سایت تو رو میشناسه.
مشکلات Session:
Session Fixation: هکر Session ID بهت میده، تو لاگین میکنی، هکر با همون Session ID وارد اکانتت میشه!
Session Hijacking: هکر Session ID تو رو میدزده (از طریق XSS، MitM) و وارد اکانتت میشه.
Session Timeout نداره: Session هیچوقت منقضی نمیشه. هکر اگه بدزدش، همیشه میتونه استفاده کنه.
Session ID قابل حدس: Session IDها الگو دارن. هکر میتونه حدس بزنه.
چرا برای امنیت مهمه؟
چون Session یعنی دسترسی به اکانت کاربر. اگه Session لو بره، هکر وارد اکانت میشه بدون پسورد!