Вред передачи идентификатора сеанса в качестве параметра URL
Поэтому я только что заметил, что один из сайтов интернет-банка передает идентификатор сессии в качестве параметра url. (См. Изображение ниже)
Раньше я нигде не видел этого ';' в url, в данном случае это после 'private;'.
1) Какая польза от этого ';'?
2) И почему интернет-банк, который должен быть самым безопасным местом в интернете, передает идентификатор сессии в качестве параметра url?
Сначала я думал, что они делают это, потому что некоторые пользователи запрещают использование куки, но потом, если они позволяют это, используют куки, если нет - url, но я разрешаю использовать куки, так что, очевидно, это не так ,
3) Думаю, тогда у них должны быть какие-то другие меры безопасности? Какими они могут быть?
4) А что можно сделать, если он знает другие действительные идентификаторы сессии? Как я знаю, вы можете довольно легко войти в сеанс других людей, если знаете этот идентификатор, потому что несложно редактировать куки и намного проще передать этот идентификатор сеанса в качестве параметра url, особенно если у вас есть что-то вроде:
session_id($_GET[sessionid]);
Спасибо!