Tengo una web que crea una cookie así
$_SESSION['login'] = $iduser; y obtienes como resultado esta cookie
CitarPHPSESSID=ff2a567e17e44ede3f2397bdfce2e366
querría saber si se puede modificar la cookie para poner otro id de usuario ¿no se si me explico?
Lo que hace php es generar un numero aleatorio, saca el sha de eso, asi que tendrias que saber el phpsessid previamente, por fuerza bruta es dificil
Entonces es seguro. Había visto un script que lo deshacía pero no se igual no era eso.
Pero robar la cookie es super facil, por eso se usa una combinación de técnicas, preferiblemente el browser fingerprinting
ya to me refería a crear una propia.
Un metodo propio? Eso + local storage + canvas fingerprinting :p es lo mas simple de aplicar
No me referia a que sabiendo que $_SESSION['login'] = $iduser; crear una cookie con cualquier id para injertar y obtener conexión como otro usuario.
Ya te lo explique en el IRC. No es posible. Ese ID que ves (el PHPSSID) es solo una referencia "aleatoria" unica que apunta a un archivo en el propio servidor. Incluso aunque te inventes otro PHPSSID tu mismo, PHP no encontrara el archivo en el servidor y no lo aceptara. Otra cosa es que "casualmente" le robes la session a alguien xD
Saludos