Главное меню
все форумы все темы форума добавить тему
Проблема флеш и безопасности сессий.
Пользователь не всегда имеет возможность обезопасить себя. В случае XSS уязвимости на сайте, похитить идентификатор сессии или токен автологина можно даже без его ведома. Так что такой подход мне не кажется верным.
 
Что касается данных, то тут мое мнение таково: пользователь может потерять данные, но не должен потерять аккаунт. Я сам прекрасно понимаю ущербность подобной позиции, но на сегодняшний день она мне кажется приемлемой с точки зрения соотношения удобства и безопасности.
 
В последних ревизиях я все же модифицировал код таким образом, чтобы при несовпадении юзерагента, но присутствии правильного CSRF-токена сброса сессии не происходило. Думаю, это будет и удобно и безопасно.