 Logowanie - sesje czy cookie, Bezpieczeństwo |
| Logowanie - sesje czy cookie, Bezpieczeństwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 17.10.2014 Ostrzeżenie: (10%) 
 |
Zacząłem ostatnio uzupełniać swoją wiedzę z PHP i mam mętlik w głowie. Zrobiłem sobie prosty system logowania oparty na cookies, jednak teraz dowiaduje się, że bezpieczniej jest robić logowanie na sesjach, gdyż podobno użytkownik może ciasteczka tworzyć sam oraz je edytować (https://www.youtube.com/watch?v=bW64jbnGYHw). Niejednokrotnie widzę na stronach internetowych napis, że ich witryna używa cookies, a po usunięciu ciasteczek z przeglądarki, następuje wylogowanie mnie. To jak to z tym wreszcie jest? Cookies czy sesje?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%) 
|
Ustalmy kilka faktów:
- base64 encode i decode nie ma nic wspólnego z bezpieczeństwem - wrażliwych danych nie trzyma się w cookie nawet "zaszyfrowanych" - kohana 3 to prehistoria Cytat Przekazywanie session id przez URL wiąże się z niebezpieczeństwem ataków typu Session Fixation, Session Poisoning, Session Hijacking. A trzymanie zserializowanych danych w ciasku to niby nie... Natura cookie jest taka, że trzymasz w nim pary klucz=>wartość w typach prostych. Skoro chcesz do typu prostego wpakować typ złożony, to chociaż powinna Ci się zapalić czerwona lampka. Nie wypisujcie proszę takich bzdur tutaj, bo ktoś to kiedyś przeczyta i weźmie sobie za fachowe źródło. Cytat Standardowe logowanie opiera się na sesjach, natomiast opcja zapamiętaj mnie przez dajmy na to miesiąc na odpowiednich dodatkowych tabelach i wpisach w bazie danych użytkowników ale to też stwarza pewne niebezpieczeństwa, o czym się kiedyś przekonałem na własnej skórze :-) Zwłaszcza jeśli się logowaliście na innym laptopie z tą opcją i ktoś inny może Wam łatwo dodać wpisy na Facebooku, których sobie nie życzycie :-) Że co? |
|
|
|
Gitrix Logowanie - sesje czy cookie 26.08.2016, 10:28:59 
kapslokk Zeby sesja zadzialala musisz zapisac gdzies jej ID... 26.08.2016, 10:31:00 Gitrix Ale co jest bezpieczniejsze - logowanie na ciastec... 26.08.2016, 10:35:15 kapslokk Sesje - dane sesji sa trzymane na serwerze, a cias... 26.08.2016, 10:36:40 Gitrix Dzięki za odpowiedź. O to mi chodziło. 26.08.2016, 10:40:06 Damonsson Chyba nie do końca załapałeś. Więc dodam swoje trz... 26.08.2016, 11:04:15 daro0 Tyle że sesje można trzymać także w ciasteczkach. ... 26.08.2016, 11:58:46 viking Są też biblioteki które zwiększają bezpieczeństwo ... 26.08.2016, 12:07:25 daro0 Ogólnie to i tak najlepiej robić takie rzeczy na f... 26.08.2016, 12:50:12 Comandeer To może ja rzucę: JWT
Cytatjeszcze zaszyfrowane ... 26.08.2016, 15:16:22 
daro0 Cytat(Comandeer @ 26.08.2016, 16:16:2... 26.08.2016, 15:52:54 daro0 Cytat(lukaskolista @ 27.08.2016, 11:25... 27.08.2016, 16:09:41 em1X Zainteresujcie się JWT. Cała sesja przechowywana j... 27.08.2016, 12:11:02 Comandeer Niekoniecznie przy JWT sesja siedzi w ciastku. Czę... 27.08.2016, 13:46:57 em1X A ciastko to jak jest przekazywane? 27.08.2016, 13:49:01 Comandeer Touché. Chodziło mi o dedykowany nagłówek Authoriz... 27.08.2016, 14:08:30 Pyton_000 Co do zapamiętaj mnie to za każdym razem musi być ... 27.08.2016, 21:06:08 szajens daro0 - ćpiesz? Co ty w ogóle za tezy wymyślasz.
... 27.08.2016, 22:12:07 lukaskolista daro0 - widzę, że nie ogarniasz podstaw bezpieczeń... 28.08.2016, 18:22:20 daro0 Cytat(lukaskolista @ 28.08.2016, 19:22... 29.08.2016, 07:05:23 szajens Cytat(daro0 @ 29.08.2016, 08:05:23 ) ... 30.08.2016, 21:07:35 daro0 Cytat(szajens @ 30.08.2016, 22:07:35 ... 31.08.2016, 06:49:59  |
|
Aktualny czas: 29.12.2025 - 13:59 |
