سشن و امنیت [بایگانی]

mahsa_rezai

سه شنبه 12 اسفند 1393, 13:03 عصر

سلام دوستان ببخشید که من زیاد سوال میپرسم.:لبخندساده:

آیا سشنی رو که به ازای لاگین کاربر ایجاد میکنیم لازمه که در دیتابیس ذخیره بشه؟

Davidd

سه شنبه 12 اسفند 1393, 13:27 عصر

سلام
سشن در سمت سرور ذخیره میشه و کاربر بهش دسترسی نداره بنابراین ذخیره در دیتابیس تاثیری در امنیت نداره. ذخیره در دیتابیس فقط روی استفاده از حافظه تاثیر داره ینی رم کمتری اشغال میشه در عوض سرعت کم میشه. بنابراین اگر سشن لاگین حجم زیادی نداره نیاز به ذخیره در دیتابیس نیس.
سشن برای شناسایی کاربر یک کوکی به نام ASP.NET_SessionId ایجاد میکنه که حمله session hijacking از طریق این کوکی انجام میشه نه خود سشن.

mahsa_rezai

سه شنبه 12 اسفند 1393, 14:58 عصر

سلام
سشن در سمت سرور ذخیره میشه و کاربر بهش دسترسی نداره بنابراین ذخیره در دیتابیس تاثیری در امنیت نداره. ذخیره در دیتابیس فقط روی استفاده از حافظه تاثیر داره ینی رم کمتری اشغال میشه در عوض سرعت کم میشه. بنابراین اگر سشن لاگین حجم زیادی نداره نیاز به ذخیره در دیتابیس نیس.
سشن برای شناسایی کاربر یک کوکی به نام ASP.NET_SessionId ایجاد میکنه که حمله session hijacking از طریق این کوکی انجام میشه نه خود سشن.

ممنون دوست عزیز

من میخوام فقط نام کاربری رو در برای کسی که لوگین کرده در سشن ذخیره کنم آیا این کار در رم سرور حافظه زیادی رو اشغال میکنه؟

اگه بخوام از حملات session hijacking جلوگیری کنم چطور باید عمل کنم ؟

ممنون.

Mousavmousab

سه شنبه 12 اسفند 1393, 19:01 عصر

ممنون دوست عزیز

من میخوام فقط نام کاربری رو در برای کسی که لوگین کرده در سشن ذخیره کنم آیا این کار در رم سرور حافظه زیادی رو اشغال میکنه؟

اگه بخوام از حملات session hijacking جلوگیری کنم چطور باید عمل کنم ؟

ممنون.

همین که ُession.Add() اجرا بشه یه حافظه ای در سمت سرور تخصیص داده میشه. اطلاعاتی نظیر Username از حجم کمی برخوردار است.
می توانید Username را در Session ذخیره کنید.

فقط حجم اطلاعاتی که شما در سشن ذخیره می کنید ، ملاک نیست. تعداد یوزر های لاگین کرده ( افراد آنلاین) هم باید در نظر گرفته بشه.

توصیه می کنم فعلا از سشن استفاده کنید و در صورتی که تعداد یوزر ها زیاد تر شدند تکنیک های دیگه ای را پیاده سازی کنید.
موفق باشید