سلام
من در مورد State Management کلی مطالعه و تحقیق کردم و بالاخره رسیدم به session.
اخر نفهمیدم که استفاده از سشن راه امن و مطمئنی برای ذخیره کردن اطلاعاتی که دارای ارزش امنیتی هستن مثه password هست یا نه؟
اکثرا میگن آره و اینکه جایگزینه مناسبی برای Cookie هست و چون تو رم server نگهداری میشه پس امنه و منم قبول کردم که امنه تا اینکه این لینکو که مربوط به آقای راد میشه پیدا کردم که همه نتیجه گیریهای منو برد زیر سوال،انگار برگشتم سر خط:
http://barnamenevis.org/showthread.php?29768-سیستم-خرید-و-صدور-فاکتور&p=150889&viewfull=1#post150889
بالاخره نفهمیدم از سشن استفاده کنم یا نکنم؟
اصلا مزایای استفاده از سشن چیه؟
یکی میشه نام ببره؟
مگه سشن بوجود نیومد چون روش های clientSide ای نا امن بودن خواستن امنیت ایجاد شه سشنو ساختن پس اینم امن نیست که؟
ممنون میشم یکی منو روشن کنه!

الان دیدم آقای راد تو این (http://barnamenevis.org/showthread.php?118851-امنیت-سشن-و-لاگین؟&p=577738&viewfull=1#post577738) پست گفتن که:
"اگر نیاز به نگهداری اطلاعات مهمی وجود داره Session و Cache خوب هستند."
:گیج::گیج::گیج::گیج::گیج::گیج::� �یج::گیج::گیج::گیج::گیج::گیج::گ� �ج::گیج::گیج::گیج::گیج:

اونی که بهروز راد گفته از Session استفاده نکن بیشتر بخاطر این بود که اطلاعات زیادی رو میخواست از این طریق بفرسته ولی session از نظر امنیت بسیار بالاست حتی بانک سامان هم تو قسمت خرید اینترنتی از session استفاده میکنه پس فک کنم دیگه جای هیچ شکی نیست.:لبخندساده:

اونی که بهروز راد گفته از Session استفاده نکن بیشتر بخاطر این بود که اطلاعات زیادی رو میخواست از این طریق بفرسته ولی session از نظر امنیت بسیار بالاست حتی بانک سامان هم تو قسمت خرید اینترنتی از session استفاده میکنه پس فک کنم دیگه جای هیچ شکی نیست.:لبخندساده:
نه،بحث در مورد امنیتش کرده نه ارسال اطلاعات زیاد با سشن،اگه میشه یکی لطف کنه در مورد Session Hijacking یه خورده بیشتر توضیح بده.
اینجا (http://www.dotnetfunda.com/articles/article730-session-security-in-aspnet.aspx) توضیح داده ولی متاسفانه من خیلی زبانم خوب نیست:خجالت:
اگه کسی چیزی فهمید ممنون میشم با ما هم شیر کنه.

اجازه بدین یه جور دیگه بپرسم،شما میخواین یه سری اطلاعاتی که خیلی ارزش امنیتی دارن رو نگهداری کنین، کجا نگهشون میدارین؟
چجوری اونو کد میکنین؟
این الگوریتم های رمز نگاری همه انواع داده ای رو روز میکنن؟
چون session همه انواع داده ای رو میپذیره؟
مثلا اگه من یه کلاس بذارم تو سشن اونو هم میتونه کد کنه؟
از سشن استفاده میکنین؟
اگه سشن امن نیست پس چه لزومی داره ازش استفاده کنیم خب از کوکی استفاده میکنیم که سمت کلاینته و بار هم رو سرور نمیاره.

شما این مقاله ی تیم آشیانه رو بخونید با اکثر حملات امنیتی آشنا میشید . چه session و چه کوکی و ...
هیچ روشی امن نیست . اما میتونید با کارهای هوشمندانه از هر روش نا امنی استفاده کنید .
مثلا میگن کوکی امکان به سرقت رفتن داره . خب من خودم از کوکی استفاده کردم خیلی هم خوب استفاده کردم کاملا هم اوضاع آرومه و شکایتی نشد . ببینید مثل اینه که بگن چه نوع ورودی ای برای خونه استفاده بشه که دزد نتونه به راحتی به خونه نفوذ کنه . شما از هر نوع ورودی مثل تونل یا در معمولی یا آسانسور و ... استفاده کنید برای دزدی که میخواد نفوذ کنه فرقی نداره. اما اگه ورودی شما کاملا آزاد باشه اما حواس خودتون جمع باشه هرکسی نمیتونه وارد ساختمون بشه . حالا به قول دوستان شما ببین ساختمونت چی هست (سایتت) و چه کالاهایی توش هست ( داده های کاربران) و کیا ممکنه بخوان نفوذ کنن .

شما این مقاله ی تیم آشیانه رو بخونید با اکثر حملات امنیتی آشنا میشید . چه session و چه کوکی و ...
هیچ روشی امن نیست . اما میتونید با کارهای هوشمندانه از هر روش نا امنی استفاده کنید .
مثلا میگن کوکی امکان به سرقت رفتن داره . خب من خودم از کوکی استفاده کردم خیلی هم خوب استفاده کردم کاملا هم اوضاع آرومه و شکایتی نشد . ببینید مثل اینه که بگن چه نوع ورودی ای برای خونه استفاده بشه که دزد نتونه به راحتی به خونه نفوذ کنه . شما از هر نوع ورودی مثل تونل یا در معمولی یا آسانسور و ... استفاده کنید برای دزدی که میخواد نفوذ کنه فرقی نداره. اما اگه ورودی شما کاملا آزاد باشه اما حواس خودتون جمع باشه هرکسی نمیتونه وارد ساختمون بشه . حالا به قول دوستان شما ببین ساختمونت چی هست (سایتت) و چه کالاهایی توش هست ( داده های کاربران) و کیا ممکنه بخوان نفوذ کنن .
متاسفانه خوندن این مقاله هم جواب سوالمو نداد،سوالمو به صورت واضح تر اینجا (http://barnamenevis.org/showthread.php?291132-رمزنگاری-توسط-الگوریتم-sha؟&p=1365118&viewfull=1#post1365118)مطرح کردم چون به رمز نگاری هم مربوط میشد،ممنون میشم راهنمایی کنید،3 روزه تاپیک زدم و شدیدا درگیره این مسئلم و نمیتونم جلوتر برم از آقای راد یا آقای کرامتی هم خبری نیست:ناراحت: چون آقای کرامتی تو کلاساشون گفته بودن سشن امنه و از اون برای ذخیره کردن اطلاعات دارای ارزش امنیتیتون استفاده کنین من نتیجه گیری کردم که سشن امنه و به جای کوکی ها باید از سشن استفاده کنم اما اینجا چیزای دیگه ای فهمیدم که تو اون پستم گفتم...