|
хм
теперь понятнее.
но при этом есть проблема при посылке двух одновременных запросов с одинаковым случайным числом, первый из них, изменивший его, заблокирует дальнейшую работу второго запроса.
блиц-попытка решить эту проблему у меня вызвала возвращение к небезопасности при перехвате одного запроса
то есть если разрешить посылать одновременно два запроса с одним случайным числом, то послав такой же запрос сразу после перехвата, злоумышленник получит случайное число для продолжение сессии, и сможет пользоватся ею до тех пор пока поддерживает
у вас есть решение обхода проблемы одновременных запросов, и чтобы было безопасно
PS у меня устойчивое чувство, что мы тут занимаемся изобретательством велосипеда, и что уже есть достаточно безопасные схемы поддержания сессии.
|