Sesje i cookies - zastosowania i zagrożenia

O czym jest ta prezentacja?

Stan w bezstanowym protokole

HTTP jest protokołem bezstanowym - każdy request jest niezależny. Ale aplikacje webowe potrzebują “pamiętać” użytkownika: czy jest zalogowany, co ma w koszyku, jakie są jego preferencje. Do tego służą sesje i cookies. Cookie to mały plik przechowywany w przeglądarce. Sesja to mechanizm, gdzie ID sesji jest w cookie, a prawdziwe dane są bezpiecznie na serwerze. W tej prezentacji wyjaśnisz jak to działa, do czego się używa i jakie są zagrożenia związane z kradzieżą sesji czy niewłaściwą konfiguracją cookies.

Kluczowe pytania do odpowiedzi

Co to jest cookie i sesja? - Definicje i różnice
Jak to działa? - Mechanizm wymiany cookie między przeglądarką a serwerem
Kiedy używać? - Logowanie, koszyk, preferencje, “zapamiętaj mnie”
Na co uważać? - Kradzież sesji, session fixation, brak flag bezpieczeństwa
Jak robić dobrze? - HttpOnly, Secure, SameSite, regeneracja ID sesji

Zakres merytoryczny

Elementy obowiązkowe

Co to jest cookie?
- Mały plik tekstowy przechowywany w przeglądarce
- Wysyłany automatycznie z każdym requestem do domeny
- Może zawierać: ID sesji, preferencje, tokeny
- Ma datę wygaśnięcia (sesyjne vs persistent)
Co to jest sesja?
- Mechanizm przechowywania danych po stronie serwera
- Cookie zawiera tylko ID sesji (np. PHPSESSID)
- Dane sesji są na serwerze (pliki lub baza danych)
- Bezpieczniejsze niż przechowywanie wszystkiego w cookie
Jak to działa w PHP
- session_start() - rozpoczyna sesję
- $_SESSION['user_id'] = 123 - zapis danych
- session_destroy() - kończy sesję
- Schemat: przeglądarka ↔ cookie (ID) ↔ serwer (dane)
Typowe zastosowania
- Logowanie użytkownika
- Koszyk zakupowy
- Preferencje (język, motyw)
- Formularze wielokrokowe
Zagrożenia i obrona
- Session hijacking - kradzież ID sesji
- Session fixation - wymuszenie ID sesji
- Flagi: HttpOnly, Secure, SameSite

Wymagane elementy wizualne

Schemat sesji

Przeglądarka → Cookie (PHPSESSID=abc123) → Serwer → Plik sesji z danymi użytkownika

Przykład kodu PHP

session_start(), $_SESSION, ustawienia cookie_params

Warianty realizacji

Zawartość:

Definicja cookie i sesji - czym się różnią
1 schemat pokazujący przepływ cookie między przeglądarką a serwerem
1 krótki przykład kodu PHP z session_start() i $_SESSION

Forma: 10 slajdów, 10 minut prezentacji

Ocena: 3.0

Struktura prezentacji

Slajd tytułowy - Tytuł, autorzy, data
Agenda - Plan prezentacji
Problem - HTTP jest bezstanowy, jak “pamiętać” użytkownika?
Co to jest cookie? - Definicja, przykład
Co to jest sesja? - Definicja, różnica od cookie
Schemat działania - Przeglądarka ↔ Cookie ↔ Serwer
Sesje w PHP - session_start(), $_SESSION, przykład kodu
Zastosowania - Logowanie, koszyk, preferencje
Zagrożenia - Kradzież sesji, session fixation
Bezpieczeństwo cookies - HttpOnly, Secure, SameSite
Dobre praktyki - Regeneracja ID, timeout, czego nie trzymać
Podsumowanie i źródła

Scenariusze i przykłady

Scenariusz 1: “Zapamiętaj mnie” to nie sesja!

Użytkownik zaznacza “Zapamiętaj mnie” przy logowaniu. To nie przedłuża sesji! To osobny, persistent cookie z tokenem. Sesja nadal wygasa po zamknięciu przeglądarki. Token “zapamiętaj mnie” służy do automatycznego utworzenia nowej sesji przy następnej wizycie.

Scenariusz 2: Co się dzieje po wylogowaniu?

Poprawne wylogowanie powinno:

Usunąć dane z $_SESSION
Wywołać session_destroy()
Usunąć cookie sesji z przeglądarki
Wygenerować nowy ID sesji dla bezpieczeństwa

Scenariusz 3: Publiczne WiFi i kradzież sesji

Użytkownik loguje się do aplikacji przez publiczne WiFi bez HTTPS. Atakujący przechwytuje cookie sesji (PHPSESSID). Kopiuje je do swojej przeglądarki i… jest zalogowany jako ofiara. Rozwiązanie: zawsze HTTPS + flaga Secure na cookies.

Mini case study (dla wariantu C)

Przypadek: Panel administracyjny

Firma ma panel admina do zarządzania treścią. Sesja admina trwa 8 godzin, nie ma regeneracji ID po logowaniu, cookies bez flagi HttpOnly.

Atak: Atakujący znajduje podatność XSS na stronie publicznej. Wstrzykuje skrypt kradnący cookies. Admin odwiedza stronę, skrypt wysyła jego PHPSESSID do atakującego. Atakujący ma dostęp do panelu przez następne 8 godzin.

Rozwiązanie:

Flaga HttpOnly - JavaScript nie może odczytać cookie
Regeneracja ID sesji po logowaniu
Krótszy timeout dla sesji admina (np. 30 minut)
Sprawdzanie IP/User-Agent sesji

Wskazówki do wystąpienia

Prosty rysunek

Narysuj schemat: przeglądarka → cookie z ID → serwer → dane sesji. To wyjaśnia 90% tematu.

Flagi bezpieczeństwa

Jeden slajd: HttpOnly, Secure, SameSite. Krótko, ale koniecznie.

Przykład z projektu

Pokaż jak użyłbyś sesji w swoim projekcie semestralnym - to robi wrażenie.

Nie komplikuj

Sesje i cookies to prosty temat. Nie dodawaj niepotrzebnych detali.

Najczęstsze błędy

Błąd	Jak unikać?
Mylenie sesji z cookie	Jasno pokaż: cookie to pojemnik na ID, sesja to dane na serwerze
Pominięcie flag bezpieczeństwa	Zawsze wspominaj o HttpOnly, Secure, SameSite
Zbyt techniczny język	Używaj prostych analogii (np. “cookie to numerek w szatni”)
Czytanie że slajdów	Znaj materiał, slajdy to tylko wsparcie
Brak przykładów zastosowań	Pokaż konkretne przypadki: logowanie, koszyk

Zasoby

PHP: Sessions Oficjalna dokumentacja sesji w PHP.

MDN: HTTP Cookies Kompletny przewodnik po cookies i ich atrybutach.

OWASP: Session Management Cheat Sheet Profesjonalne praktyki zarządzania sesjami.

MDN: SameSite cookies Atrybut SameSite i ochrona przed CSRF.

Do dzieła!

Prezentacja to umiejętność zawodowa!

Sesje i cookies to podstawa każdej aplikacji webowej z logowaniem. Zrozumienie tego tematu jest niezbędne dla każdego web developera.

Wykorzystajcie lekcje - przygotujcie schemat sesji i przećwiczcie jego wyjaśnianie!

Współpraca to klucz - podzielcie się: jedna osoba zajmuje się mechaniką (jak działa), druga bezpieczeństwem (zagrożenia i obrona).

Pamiętajcie: Cookie to tylko pojemnik. Wrażliwe dane trzymaj na serwerze, w sesji.