| Ocorrência | Problema na atribuição de SESSIONID para conexão HTTP, causando embaralhamento de contexto |
|---|---|
| Implementação | Foram implementadas duas proteções para o caso de SESSIONID, uma para zerados e outras inexistentes. Primeira: Se o servidor de aplicação receber um SESSIONID=0, ele por padrão vai considerar que deve ser criada uma nova sessão alocando assim um novo SESSIONID (ativado por padrão: sessionid_zero). Segunda: Se o servidor de aplicação receber um SESSIONID=XYZ, e o ID XYZ não existir como uma sessão no servidor, o servidor irá identificar como uma nova sessão alocando assim um novo SESSIONID, com isto evitando que alguém tente burlar o uso de um ID inexistente podendo assim cloná-lo (por padrão está desabilitado: sessionid_exist)
As chaves devem ser habilitadas/desabilitadas na sessão GENERAL do ini do appserver. |
| Informações adicionais |
|
Visão Geral
Import HTML Content
Conteúdo das Ferramentas