הגנה מגניבת עוגיות

[iniKey.com]

גניבת עוגיות יכולה להווצר ממצב של חור במערכת (XSS למשל),
אם יש לי את העוגיות שלך פה בפורום אני יכול להכנס אליהם זה לא אומר שזה לא מאובטח.

[Haimz]

ציטוט:

נכתב במקור על ידי IgalSt

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

במקרה של מחיקת משתמש, הוא עדיין ישאר מחובר (חסרון קטן, אבל חסרון גדול באדמין פאנל)
ובמקרה שזו עוגייה, עריכת האיידי שלה פשוט תיתן חיבור לכל משתמש אחר ..
כך שזה רעיון לא כל כך טוב,


לפותח האשכול:
תשמור את השם משתמש ואת הסיסמה(בהצפנה חד כיוונית) [מומלץ את שניהם בהצפנה דו כיוונית]
ולפי זה תעשה בדיקה באתר..
זה שהוא יערוך את העוגייה לא גורם לזה להיות דבר לא מאובטח, כי כדי לערוך את העוגייה הוא צריך פרטים.

מה שאתה צריך לחשוב לאבטח זה את הצד שרת, שם אל תהווה חורי אבטחה
צד לקוח - לא משנה מה, תמיד יהיה אפשר לשנות ככה שזה נעים שתעשה בדיקה
אבל אם בן אדם משנה משהו ורואה שזה לא פועל, הוא מבין עם מה הוא מתעסק
אין לך מה לדאוג, בהצלחה