Al implementar una aplicación basada en web, ¿qué tan seguras son las variables de sesión frente a la manipulación manual más allá del alcance de mi código?
es decir, cuando se autentica a un usuario, si tuviera que inicializar una variable de sesión authenticated
como true
, entonces puedo realizar una comprobación booleana simple contra la sesión y el estado autenticado del usuario, antes de realizar cualquier operación confidencial.
Sin embargo, ¿me sería posible inicializar una variable de sesión authenticated
y establecer esto en true
sin pasar realmente un control de seguridad? Esencialmente, ¿podría alguien engañar a mi aplicación para que piense que el usuario fue autenticado, cuando en realidad no lo están?