23-06-2007, 19:46
|
|
|
חבר מתאריך: 15.08.06
הודעות: 1,561
|
|
השאלה הכי חשובה פה היא מה רמת הבטיחות שאתה רוצה להשיג
למשל, אם זה זיהוי לשם כתיבה בפורום, הרמת זיהוי שמספיקה היא עוגיות שישארו פעילות כמה ימים
אם אתה צריך יותר, אפשרי לעשות עוגיות/סשנים שנשארים פעילים רק לכמה שעות (ואז יש פחות סיכוי שמישהו ישתמש בעוגיה של מישהו אחר שהוא "מצא")
לעומת זאת, אם אתה מעניק שירות כלשהו שכרוך בתשלום או באבטחה גבוהה, אז אתה צריך שרת SSL (או טכנולוגיית הצפנה/זיהוי דומה) שיאבטח אותו (קרא גם על פרוטוקול HTTPS)
למשל דוגמא לבעיה שיש עם עוגיות/סשנים - המשתמש שלך משתמש בפרוקסי כדי להתחבר לאינטרנט ולכן כל המידע שהוא מעביר/מקבל יכול להיקרא ע"י גורם שלישי. הגורם השלישי יכול לשמור אצלו את העוגיה שהשרת שלך שולח, ואחרי שהמשתמש מתנתק, הגורם שולח שוב את העוגיה ומתחבר בעצם על השם של המשתמש, אך בלי סיסמא..
ואגב , זה שהמשתמש סוגר את החלון שלו, לא אומר שהסשן נהרס, כי הסשן נמצא על השרת ולא על הקליינט, ולשרת אין מושג אם המשתמש עדיין משתמש בדפדפן או לא
נערך לאחרונה ע"י yoavmatchulsky בתאריך 23-06-2007 בשעה 19:48.
|