View Full Version : سوال: استفاده از session و cookie
navid3d_69
دوشنبه 06 شهریور 1391, 20:47 عصر
سلام من می خواستم بدونم که امنیت کوکی بیشتر هست با سشن؟
و اینکه باید از هر دوتا استفاده بشه یا فقط زمانی که کاربر مثلا بعدا بدون لاگین دوباره وارد سایت بشه نیاز هست کوکی ست بشه؟
MMSHFE
دوشنبه 06 شهریور 1391, 21:02 عصر
خوب طبیعتاً بطور پیشفرض امنیت سشن بیشتر از کوکی هست چون اطلاعاتش روی سرور ذخیره میشه و این مسئله، نه تنها جلوی سرقت اطلاعات با دسترسی مستقیم رو میگیره، بلکه امکان سرقت اطلاعات با شنود شبکه هم منتفی میشه اما از سشن نمیشه در کاربردهای طولانی مدت استفاده کرد (مثلاً کاربر 1 هفته لاگین شده باقی بمونه، حتی اگه مرورگر رو ببنده). بنابراین در برخی موارد لازمه از کوکی استفاده کنیم. ضمناً سشن هم بطور پیشفرض از کوکی برای انتقال Session ID استفاده میکنه و نمیشه بگیم کلاً کوکی بلا استفاده هست. البته در استفاده از کوکی باید با دقت زیادی عمل کنیم. مثلاً اگه میخوایم کاربر لاگین شده باقی بمونه، هربار که کاربری لاگین میکنه، براش یک هش تصادفی تولید کنیم و توی دیتابیس در جدول مخصوصی در کنار شناسه کاربری اون ذخیره کنیم و این هش رو توی کوکی بگذاریم نه اینکه مستقیماً نام کاربری و رمز عبور رو توی کوکی بگذاریم. اینطوری اگه فرضاً کوکی هم لو بره، چیز خاصی دست هکر نمیاد و ضمناً با تغییر اون، نمیشه به راحتی خودمون رو جای کاربر دیگه ای جا بزنیم چون الگوریتم قابل حدس زدن نداره. بعلاوه این هش هم فقط مدت خاصی باید اعتبار داشته باشه که با یکسری تنظیمات ساده توی دیتابیس میشه به این هدف هم رسید. موفق باشید.
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.