رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
سشن و کوکی در جامعه های مجازی
#1
سلام و خسته نباشید
من تا الآن تو همه ی پروژه هام از سشن استفاده میکردم ولی سشن طوری هستش که وقتی تو سایت ده دقه فعالیت نمیکنی از بین میره و به صفحه لاکین منتقل میشه.(همینطور هم که میدونیم میشه این وقت رو طولانی کرد)
سوالی که دارم اینه : تا چه حد میتونم این وقت رو طولانی کنم.
آیا میشه زمان سشن رو واسه یک ماه افزایش داد.

و سوال دیگه:
من تو چند جایی میخوندم که امنیت کوکی پایینه:
حالا
خواستم ببینم این شبکه های اجتماعی مثل فیسبوک و کلوپ و .... از چ روشی استفاده میکنن.
ممنون
پاسخ
تشکر شده توسط:
#2
همه این سایتها با همون سشن و کوکی کار میکنن. منتها روش کارشون و مدت زمان و... با هم فرق میکنه. برای مثال یه سایت ممکنه برای کاربر توی دیتابیس یه فیلد auth داشته باشه (مثلاً) و وقتی کاربر لاگین میکنه و Remember رو انتخاب میکنه، یه توکن اختصاصی و Unique براش تولید بشه و تو این فیلد ذخیره بشه و همون هم توی کوکی ثبت بشه و یه تاریخ انقضا هم براش تو دیتابیس درنظر بگیره. حالا اگه توی کوکی توکن موردنظر بود، دیگه صفحه لاگین رو نیاره و مستقیماً لاگین کنه.
پاسخ
تشکر شده توسط: masiha68
#3
چرا دیگ توی دیتابیس ذخیره میکنن؟ همون توی کوکی ذخیره کنن که کافیه
پاسخ
تشکر شده توسط:
#4
خوب از کجا میخواین بدونین auth ارسال شده توسط کوکی مال کدوم کاربره و الان کی باید لاگین بشه؟!
پاسخ
تشکر شده توسط:
#5
آی دیه کاربر رو تو کوکی میزاریم
در هر حال به نظرم تاثیری توی امنیت نداره، چون طرف اگه بخواد کوکی رو بدزده در هر دو حالت میتونه لوگین کنه، شایدم من اشتباه میکنم!!!
پاسخ
تشکر شده توسط:
#6
خب اینطوری من میام به راحتی آیدی ادمین رو پیدا میکنم و یه کوکی تو مرورگرم اضافه میکنم با آیدی ادمین.
بعد موقع لاگین سیستم منو به عنوان ادمین تشخیص میده!
ولی اگر کد رو طوری که آقای شهرکی گفتن تولید کنیم این اتفاق نمی افته.
پاسخ
تشکر شده توسط:
#7
شما تو حالت من از کجا میفهمید طرف ادمینه یا نه؟
---
میتونیم یه secure code به اوله آی دی اضافه کنیم بعد هش کنیم طرف اصلا نمیتونه دکد کنه چه برسه ...
پاسخ
تشکر شده توسط:
#8
(20-07-1394، 11:00 ب.ظ)محسن نوری نوشته: ...
ولی اگر کد رو طوری که آقای شهرکی گفتن تولید کنیم این اتفاق نمی افته.

اگه کوکی به سرقت بره دیگه چه فرقی میکنه.
اصلا بحث سر چیه؟
ما که نفهمیدیم!!!

یادگیری مداوم حداقل شرط لازم برای موفقیت در هر زمینه ای است که در آن فعالیت می کنید؛ هر روز چیز جدیدی بیاموزید.
پاسخ
تشکر شده توسط:
#9
(21-07-1394، 12:45 ق.ظ)bgsrb88 نوشته: اگه کوکی به سرقت بره دیگه چه فرقی میکنه.
اصلا بحث سر چیه؟
ما که نفهمیدیم!!!

بحث سره همین تفاوته دیگ!!! والاه منم نفهمیدم کوکی به سرقت بره چه فرقی میکنه!!! الکی حجم دیتابیس اشغال میشه
حالا اگه کوکی رو با یه کلمه امن هش کنیم نمیتونن بدزدن
پاسخ
تشکر شده توسط:
#10
من نگفتم روش شما امن نیست. بهرحال باید یه شناسه ای بگذارین که مشخص بشه کوکی مال کیه. حالا توی یه روش میاد توی دیتابیس ذخیره میکنه و توی یه روش دیگه توی کوکی و دقت کنید که کوکی مصرف ترافیک رو بالا میبره چون در هر درخواست باید این اطلاعات ازطرف کلاینت بیاد سمت سرور و بعد از پردازش، دوباره در جواب برای کلاینت ارسال بشه تا توی مرورگر ذخیره بشه. هر سایتی یه روشی رو استفاده میکنه و این به معنای اشتباه بودن روش دیگران نیست. ازطرفی وقتی یکسری اطلاعات سمت سرور باشه میتونید علاوه بر کد auth مواردی مثل IP و... رو هم ذخیره کنید تا کوکی درصورت به سرقت رفتن، از اعتبار ساقط بشه. درهرحال میخوام بگم روشی که گفتم، فقط یکی از روشهای مرسوم هست نه اینکه منظورم بهتر یا بدتر بودن روش خاصی باشه.
پاسخ
تشکر شده توسط: n0o0b_sina




کاربران در حال بازدید این موضوع: 4 مهمان