سوال: امنیت در سشن [بایگانی]

mamali-mohammad

دوشنبه 26 فروردین 1392, 16:25 عصر

سلام
آیا سشن هم مثل کوکی باید کار خاصی انجام داد برای امنیتش ؟

colors

دوشنبه 26 فروردین 1392, 17:27 عصر

سلام گلم

مطمئنا به اندازه کوکی اطلاعاتش در خطر نیست. ولی بازم سوء قصدهای زیادی نسبت به سشن انجام میگیره. مثلا همون نشت سشن که میتونه خطرناکه باشه و البته راه حلشم سادس.
بعدشم اگه تو سرورهای اشتراکی هستی, بهتره سشن رو تو بانک ذخیره کنی.
جناب شهرکی کلاسی رو آماده کرده که به راحتی میتونی سشن رو تو بانک ذخیره کنی. اینجارو ببین (http://barnamenevis.org/showthread.php?286634-%D8%B0%D8%AE%D9%8A%D8%B1%D9%87-Session-%D8%AF%D8%B1-DB-%D8%A8%D9%87-%D8%AC%D8%A7%D9%8A-%D9%81%D8%A7%D9%8A%D9%84)

eshpilen

دوشنبه 26 فروردین 1392, 18:50 عصر

سوال بیش از حد کلیه.
ولی فکر کنم منظورت اینه که مثلا اگر یه چیزی مثل role=normal رو در کوکی ذخیره کنی یا در سشن چه فرقی میکنه امنیتشون.
کوکی رو کاربر میتونه دستکاری و جعل کنه، ولی محتویات سشن رو خیر؛ البته با فرض اینکه تنظیمات سیستم سشن ناامن نباشن.
درمورد کوکی هم البته میشه با روشهای رمزنگاری کاری کرد که کاربر نتونه محتویات کوکی رو جعل کنه؛ ولی خب برای افراد غیرمتخصص در زمینهء امنیت و رمزنگاری کار راحتتر و امن تر بطور معمول همونه که همهء اطلاعات حساس/امنیتی برنامه رو در سشن ذخیره کنن. معمولا هم به این کار (ذخیرهء اطلاعات اینچنینی در کوکی) نیازی نیست و حتی از نظر امنیتی هم ترجیح داده نمیشه. پس فقط در سناریوهایی که مجبوریم یا سود مهمی داره، و توسط یک فرد متخصص در زمینهء امنیت و رمزنگاری، باید اینطور کارها انجام بشه.