 Logowanie - sesje czy cookie, Bezpieczeństwo |
| Logowanie - sesje czy cookie, Bezpieczeństwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 17.10.2014 Ostrzeżenie: (10%) 
 |
Zacząłem ostatnio uzupełniać swoją wiedzę z PHP i mam mętlik w głowie. Zrobiłem sobie prosty system logowania oparty na cookies, jednak teraz dowiaduje się, że bezpieczniej jest robić logowanie na sesjach, gdyż podobno użytkownik może ciasteczka tworzyć sam oraz je edytować (https://www.youtube.com/watch?v=bW64jbnGYHw). Niejednokrotnie widzę na stronach internetowych napis, że ich witryna używa cookies, a po usunięciu ciasteczek z przeglądarki, następuje wylogowanie mnie. To jak to z tym wreszcie jest? Cookies czy sesje?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%) 
|
Tyle że sesje można trzymać także w ciasteczkach. Tzn. trzyma się tam w jakimś ciasteczku o nazwie dajmy na to session_cookie wszystkie zserializowane dane i jeszcze zaszyfrowane dajmy na to albo base64encode (no ale to łatwo odszyfrować a nawet zidentyfikować) albo pewnie bcryptem czy czymś takim. Tego typu sesje nie mają swojego unikalnego ID. Nie wiem ile frameworków to oferuje ale Kohana to na pewno. Przekazywanie session id przez URL wiąże się z niebezpieczeństwem ataków typu Session Fixation, Session Poisoning, Session Hijacking.
Standardowe logowanie opiera się na sesjach, natomiast opcja zapamiętaj mnie przez dajmy na to miesiąc na odpowiednich dodatkowych tabelach i wpisach w bazie danych użytkowników ale to też stwarza pewne niebezpieczeństwa, o czym się kiedyś przekonałem na własnej skórze :-) Zwłaszcza jeśli się logowaliście na innym laptopie z tą opcją i ktoś inny może Wam łatwo dodać wpisy na Facebooku, których sobie nie życzycie :-) |
|
|
|
Gitrix Logowanie - sesje czy cookie 26.08.2016, 10:28:59 
kapslokk Zeby sesja zadzialala musisz zapisac gdzies jej ID... 26.08.2016, 10:31:00 Gitrix Ale co jest bezpieczniejsze - logowanie na ciastec... 26.08.2016, 10:35:15 kapslokk Sesje - dane sesji sa trzymane na serwerze, a cias... 26.08.2016, 10:36:40 Gitrix Dzięki za odpowiedź. O to mi chodziło. 26.08.2016, 10:40:06 Damonsson Chyba nie do końca załapałeś. Więc dodam swoje trz... 26.08.2016, 11:04:15 viking Są też biblioteki które zwiększają bezpieczeństwo ... 26.08.2016, 12:07:25 daro0 Ogólnie to i tak najlepiej robić takie rzeczy na f... 26.08.2016, 12:50:12 Comandeer To może ja rzucę: JWT
Cytatjeszcze zaszyfrowane ... 26.08.2016, 15:16:22 
daro0 Cytat(Comandeer @ 26.08.2016, 16:16:2... 26.08.2016, 15:52:54 lukaskolista Ustalmy kilka faktów:
- base64 encode i decode nie... 27.08.2016, 10:25:12 daro0 Cytat(lukaskolista @ 27.08.2016, 11:25... 27.08.2016, 16:09:41 em1X Zainteresujcie się JWT. Cała sesja przechowywana j... 27.08.2016, 12:11:02 Comandeer Niekoniecznie przy JWT sesja siedzi w ciastku. Czę... 27.08.2016, 13:46:57 em1X A ciastko to jak jest przekazywane? 27.08.2016, 13:49:01 Comandeer Touché. Chodziło mi o dedykowany nagłówek Authoriz... 27.08.2016, 14:08:30 Pyton_000 Co do zapamiętaj mnie to za każdym razem musi być ... 27.08.2016, 21:06:08 szajens daro0 - ćpiesz? Co ty w ogóle za tezy wymyślasz.
... 27.08.2016, 22:12:07 lukaskolista daro0 - widzę, że nie ogarniasz podstaw bezpieczeń... 28.08.2016, 18:22:20 daro0 Cytat(lukaskolista @ 28.08.2016, 19:22... 29.08.2016, 07:05:23 szajens Cytat(daro0 @ 29.08.2016, 08:05:23 ) ... 30.08.2016, 21:07:35 daro0 Cytat(szajens @ 30.08.2016, 22:07:35 ... 31.08.2016, 06:49:59  |
|
Aktualny czas: 16.10.2025 - 13:23 |
