 Logowanie - sesje czy cookie, Bezpieczeństwo |
| Logowanie - sesje czy cookie, Bezpieczeństwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 17.10.2014 Ostrzeżenie: (10%) 
 |
Zacząłem ostatnio uzupełniać swoją wiedzę z PHP i mam mętlik w głowie. Zrobiłem sobie prosty system logowania oparty na cookies, jednak teraz dowiaduje się, że bezpieczniej jest robić logowanie na sesjach, gdyż podobno użytkownik może ciasteczka tworzyć sam oraz je edytować (https://www.youtube.com/watch?v=bW64jbnGYHw). Niejednokrotnie widzę na stronach internetowych napis, że ich witryna używa cookies, a po usunięciu ciasteczek z przeglądarki, następuje wylogowanie mnie. To jak to z tym wreszcie jest? Cookies czy sesje?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%) 
|
Ogólnie to i tak najlepiej robić takie rzeczy na frameworkach. Cookie można też fajnie zabezpieczyć przed modyfikacją ręczną, taka modyfikacja później zakończy się tym, że ciasteczko nie zostanie po prostu odczytane i takie logowanie się po prostu nie uda, podaję przykład w Kohanie, choć w innych frameworkach może być też coś na wzór tego:
https://kohanaframework.org/3.3/guide-api/Cookie Tego typu zabezpieczenie jest realizowane przez hashowanie pewnych danych i jeszcze z użyciem soli (bez tego można łatwo sobie poradzić bazując chociażby na kodzie wyżej), użycie tego przy zapisie a potem sprawdzanie czy się zgadza przy odczycie, możecie przeanalizować ten kod. |
|
|
|
Gitrix Logowanie - sesje czy cookie 26.08.2016, 10:28:59 
kapslokk Zeby sesja zadzialala musisz zapisac gdzies jej ID... 26.08.2016, 10:31:00 Gitrix Ale co jest bezpieczniejsze - logowanie na ciastec... 26.08.2016, 10:35:15 kapslokk Sesje - dane sesji sa trzymane na serwerze, a cias... 26.08.2016, 10:36:40 Gitrix Dzięki za odpowiedź. O to mi chodziło. 26.08.2016, 10:40:06 Damonsson Chyba nie do końca załapałeś. Więc dodam swoje trz... 26.08.2016, 11:04:15 daro0 Tyle że sesje można trzymać także w ciasteczkach. ... 26.08.2016, 11:58:46 viking Są też biblioteki które zwiększają bezpieczeństwo ... 26.08.2016, 12:07:25 Comandeer To może ja rzucę: JWT
Cytatjeszcze zaszyfrowane ... 26.08.2016, 15:16:22 
daro0 Cytat(Comandeer @ 26.08.2016, 16:16:2... 26.08.2016, 15:52:54 lukaskolista Ustalmy kilka faktów:
- base64 encode i decode nie... 27.08.2016, 10:25:12 daro0 Cytat(lukaskolista @ 27.08.2016, 11:25... 27.08.2016, 16:09:41 em1X Zainteresujcie się JWT. Cała sesja przechowywana j... 27.08.2016, 12:11:02 Comandeer Niekoniecznie przy JWT sesja siedzi w ciastku. Czę... 27.08.2016, 13:46:57 em1X A ciastko to jak jest przekazywane? 27.08.2016, 13:49:01 Comandeer Touché. Chodziło mi o dedykowany nagłówek Authoriz... 27.08.2016, 14:08:30 Pyton_000 Co do zapamiętaj mnie to za każdym razem musi być ... 27.08.2016, 21:06:08 szajens daro0 - ćpiesz? Co ty w ogóle za tezy wymyślasz.
... 27.08.2016, 22:12:07 lukaskolista daro0 - widzę, że nie ogarniasz podstaw bezpieczeń... 28.08.2016, 18:22:20 daro0 Cytat(lukaskolista @ 28.08.2016, 19:22... 29.08.2016, 07:05:23 szajens Cytat(daro0 @ 29.08.2016, 08:05:23 ) ... 30.08.2016, 21:07:35 daro0 Cytat(szajens @ 30.08.2016, 22:07:35 ... 31.08.2016, 06:49:59  |
|
Aktualny czas: 11.10.2025 - 09:42 |
