 Logowanie - sesje czy cookie, Bezpieczeństwo |
| Logowanie - sesje czy cookie, Bezpieczeństwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 17.10.2014 Ostrzeżenie: (10%) 
 |
Zacząłem ostatnio uzupełniać swoją wiedzę z PHP i mam mętlik w głowie. Zrobiłem sobie prosty system logowania oparty na cookies, jednak teraz dowiaduje się, że bezpieczniej jest robić logowanie na sesjach, gdyż podobno użytkownik może ciasteczka tworzyć sam oraz je edytować (https://www.youtube.com/watch?v=bW64jbnGYHw). Niejednokrotnie widzę na stronach internetowych napis, że ich witryna używa cookies, a po usunięciu ciasteczek z przeglądarki, następuje wylogowanie mnie. To jak to z tym wreszcie jest? Cookies czy sesje?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%) 
|
Chyba nie do końca załapałeś. Więc dodam swoje trzy grosze.
Jeśli chcesz używać sesji to musisz też używać cookie, które będzie przechowywało id sesji. Sesja nie będzie działać bez cookie*. *Oczywiście zamiast cookie, możesz przekazywać id sesji w URLu, czy trzymać go w local.storage czy jeszcze możesz wymyślić jakiś dziwny sposób. Ale id sesji trzyma się w cookie, to jest naturalne i bezpieczne. Ty po swojej stronie serwera, musisz przechowywać id sesji i użytkownik po swojej też musi go przechowywać, inaczej nie będziecie wzajemnie wiedzieli o sobie. W cookie użytkownika jest tylko id tej sesji, nic więcej. Mając sesje, masz je przypisane do odpowiedniego użytkownika i możesz utrzymywać np. jego status zalogowania, czy sprawdzać czy to admin. Ale to wszystko robisz po stronie serwera, czyli użytkownik nie ma na to wpływu. Natomiast kiedy zrezygnowałbyś całkowicie z sesji, to w ciasteczku musiałbyś umieścić np takie informacje jak "czyAdmin=nie" i teraz każdy mógłby sobie to ciasteczko edytować i podmienić wartość na "czyAdmin=tak" i voila miałby dostęp np do panelu admina. Przy używaniu sesji, jedyne co użytkownik może zmienić to jego id sesji w ciasteczku, ale nic mu to nie da, bo nie zna id sesji admina, więc po prostu zostanie wylogowany, bo nie zostanie znaleziony taki id sesji na jaki on zmienił. Ten post edytował Damonsson 26.08.2016, 11:04:55 |
|
|
|
Gitrix Logowanie - sesje czy cookie 26.08.2016, 10:28:59 
kapslokk Zeby sesja zadzialala musisz zapisac gdzies jej ID... 26.08.2016, 10:31:00 Gitrix Ale co jest bezpieczniejsze - logowanie na ciastec... 26.08.2016, 10:35:15 kapslokk Sesje - dane sesji sa trzymane na serwerze, a cias... 26.08.2016, 10:36:40 Gitrix Dzięki za odpowiedź. O to mi chodziło. 26.08.2016, 10:40:06 daro0 Tyle że sesje można trzymać także w ciasteczkach. ... 26.08.2016, 11:58:46 viking Są też biblioteki które zwiększają bezpieczeństwo ... 26.08.2016, 12:07:25 daro0 Ogólnie to i tak najlepiej robić takie rzeczy na f... 26.08.2016, 12:50:12 Comandeer To może ja rzucę: JWT
Cytatjeszcze zaszyfrowane ... 26.08.2016, 15:16:22 
daro0 Cytat(Comandeer @ 26.08.2016, 16:16:2... 26.08.2016, 15:52:54 lukaskolista Ustalmy kilka faktów:
- base64 encode i decode nie... 27.08.2016, 10:25:12 daro0 Cytat(lukaskolista @ 27.08.2016, 11:25... 27.08.2016, 16:09:41 em1X Zainteresujcie się JWT. Cała sesja przechowywana j... 27.08.2016, 12:11:02 Comandeer Niekoniecznie przy JWT sesja siedzi w ciastku. Czę... 27.08.2016, 13:46:57 em1X A ciastko to jak jest przekazywane? 27.08.2016, 13:49:01 Comandeer Touché. Chodziło mi o dedykowany nagłówek Authoriz... 27.08.2016, 14:08:30 Pyton_000 Co do zapamiętaj mnie to za każdym razem musi być ... 27.08.2016, 21:06:08 szajens daro0 - ćpiesz? Co ty w ogóle za tezy wymyślasz.
... 27.08.2016, 22:12:07 lukaskolista daro0 - widzę, że nie ogarniasz podstaw bezpieczeń... 28.08.2016, 18:22:20 daro0 Cytat(lukaskolista @ 28.08.2016, 19:22... 29.08.2016, 07:05:23 szajens Cytat(daro0 @ 29.08.2016, 08:05:23 ) ... 30.08.2016, 21:07:35 daro0 Cytat(szajens @ 30.08.2016, 22:07:35 ... 31.08.2016, 06:49:59  |
|
Aktualny czas: 29.12.2025 - 09:30 |
