Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Com cookies, podemos especificar o caminho onde ele será acessível.
>
path
O caminho no servidor aonde o cookie estará disponível. Se configurado para '/', o cookie estará dosponível para todo o domain. Se configurado para o diretório '/foo/', o cookie estará disponível apenas dentro do diretório /foo/ e todos os subdiretórios como/foo/bar do domain. O valor padrão é o diretório atual onde o cookie está sendo configurado.
E para sessões, qual é esse caminho?
Verdade, lembro que já passei por isso mesmo.
E sabe se é possível injetar uma sessão num domínio?
Estou avaliando o quão segura é essa solução para token em formulário.
se entedi bem, sessões são armazenadas no caminho definido em session.pave_path
(no php.ini);
veja se é isso:
http://php.net/manual/pt_BR/session.configuration.php#ini.session.save-path
E sabe se é possível injetar uma sessão num domínio?
Tirando as possibilidades de algum bug no sistema que permita manipular sessões, só se você tiver acesso ao servidor, pois ai você poderia manipular o arquivo da sessão específica (que nada mais é que um arquivo de texto plano fora da área pública).
Bem mencionado @Fernando C, mas esse caminho só define onde a sessão será armazenada, o que complementa a resposta do @ESerra sobre minha dúvida de injeção.
Então fora as circunstâncias citadas, posso dizer que essa solução de token para formulário é segura?
A segurança depende do propósito, antigamente o povo usava muito isto para garantir que a requisição tivesse vindo do próprio servidor, mas isso dá pra burlar também.
O propósito era exatamente esse, garantir que a requisição veio do mesmo servidor.
Bom, valeu pessoal, vou pesquisar mais a respeito!
Por padrão as sessões estão ligadas ao subdomínio, se você logar com www.site.com.br vai notar que se acessar site.com.br não estará logado e vice-versa.