אני בונה אתר,
יש באתר התחברות של משתמים,
אני כמובן מוענין שהמשתמשים לא יקלידו כל פעם את השם והסיסמא ועל כן אני משתמש בעוגיות.
אני שומר בעוגיה את השם משתמש והסיסמא אחרי HASH.

אבל חשבתי על בעיה שיכולה להיות,
אם מישהו גונב למשתמש את העוגיה (ממש את הקובץ, או המידע)
הוא יכול להתחבר לאתר שלי כמתחזה...
איך ניתן למנוע את הבעיה?

למנוע ממנו לגנוב לך את העוגיה...

או שאתה יכול לעשות שאחרי שעה למשל, המשתמשים ינותקו אוטומטית מן המערכת ויצטרכו להתחבר מחדש.

יהיו פה עכשיו שייקפצו ויגידו לבדוק IP או משהו כזה, אבל אין שום דרך אמיתית...הכי טוב שאתה יכול לעשות זה להשתמש בברירת המחדך של העוגיות בphp ואז כשהמשתמש ייסגור את הדפדפן, העוגייה תמחק...

זה לא טוב.


בכל כניסה מחודשת,
הוא יצטרך להיתחבר מחדש.


בכל אופן,
אין דרך לחסום גניבת עוגיות,
כל מי שבונה אתר לוקח סיכונים - זה אחד מהם.

מי שפרצו לו, זו בעיה שלו, לא שלך.[שייגן על המחשב שלו או על הנתונים באתר]

אני לא אייעץ לבן אדם לשכתב את האתר. הוא שאל על עוגיות - עניתי על עוגיות. אם הוא היה שואל על sessions - מן הסתם הייתי עונה על sessions.

דרך אחת..

העוגיה לא תכיל את המידע של השם משתמש והסיסמא... העוגיה תתפקד כ- SESSION, מה שנמצא בה זה ה- ID של ההתחברות, כאשר כל ההתחברויות מאוחסנות על טבלה במסד נתונים..

נכון, אפשר לגנוב את ה- ID של החיבור, (אני אישית מוסיף גם סיסמא בשביל להגדיר את האבטחה) אבל אז יש לפורץ כמה חסרונות:
מתישהו פג התוקף של העוגיה, המשתמש גם יכול להתנתק ובפעולת ההתנתקות הפרטים של החיבור נמחקים והעוגיה כבר לא אפקטיבית, עוד משהו, זה שגם אם הוא נכנס למשתמש שלו, הוא עדיין לא יכול לשנות סיסמא (אם אתה חכם ודורש את הסיסמא הקודמת שאתה מחליף סיסמא) ואז בגלל שהוא לא יודע את הסיסמא, הוא לא יכול למנוע מהמשתמש האמיתי להיכנס לחשבון שלו

אתה יכול לבנות מקודד, נגיד לקחת כל אות מהסיסמה
ולהמיר אותה לערך שלה בASCII עם המספר שלה אתה מכפיל אותו בכמה מספרים
ולרשום ככה בעוגיות, באתר תעשה את הפעולה ההפוכה (חילוק) ותבדוק וככה זה יהיה מאובטח

ומה בדיוק לא יסתדר עם העוגיה תהיה אצל ה"גנב" ?
נסה לחשב את התהליך ותראה שהצעת כאן "כלום" ועוד פעם "כלום".