سلام و خسته نباشید
من تا الآن تو همه ی پروژه هام از سشن استفاده میکردم ولی سشن طوری هستش که وقتی تو سایت ده دقه فعالیت نمیکنی از بین میره و به صفحه لاکین منتقل میشه.(همینطور هم که میدونیم میشه این وقت رو طولانی کرد)
سوالی که دارم اینه : تا چه حد میتونم این وقت رو طولانی کنم.
آیا میشه زمان سشن رو واسه یک ماه افزایش داد.
و سوال دیگه:
من تو چند جایی میخوندم که امنیت کوکی پایینه:
حالا
خواستم ببینم این شبکه های اجتماعی مثل فیسبوک و کلوپ و .... از چ روشی استفاده میکنن.
ممنون
همه این سایتها با همون سشن و کوکی کار میکنن. منتها روش کارشون و مدت زمان و... با هم فرق میکنه. برای مثال یه سایت ممکنه برای کاربر توی دیتابیس یه فیلد auth داشته باشه (مثلاً) و وقتی کاربر لاگین میکنه و Remember رو انتخاب میکنه، یه توکن اختصاصی و Unique براش تولید بشه و تو این فیلد ذخیره بشه و همون هم توی کوکی ثبت بشه و یه تاریخ انقضا هم براش تو دیتابیس درنظر بگیره. حالا اگه توی کوکی توکن موردنظر بود، دیگه صفحه لاگین رو نیاره و مستقیماً لاگین کنه.
چرا دیگ توی دیتابیس ذخیره میکنن؟ همون توی کوکی ذخیره کنن که کافیه
خوب از کجا میخواین بدونین auth ارسال شده توسط کوکی مال کدوم کاربره و الان کی باید لاگین بشه؟!
آی دیه کاربر رو تو کوکی میزاریم
در هر حال به نظرم تاثیری توی امنیت نداره، چون طرف اگه بخواد کوکی رو بدزده در هر دو حالت میتونه لوگین کنه، شایدم من اشتباه میکنم!!!
خب اینطوری من میام به راحتی آیدی ادمین رو پیدا میکنم و یه کوکی تو مرورگرم اضافه میکنم با آیدی ادمین.
بعد موقع لاگین سیستم منو به عنوان ادمین تشخیص میده!
ولی اگر کد رو طوری که آقای شهرکی گفتن تولید کنیم این اتفاق نمی افته.
شما تو حالت من از کجا میفهمید طرف ادمینه یا نه؟
---
میتونیم یه secure code به اوله آی دی اضافه کنیم بعد هش کنیم طرف اصلا نمیتونه دکد کنه چه برسه ...
(20-07-1394، 11:00 ب.ظ)محسن نوری نوشته: [ -> ]...
ولی اگر کد رو طوری که آقای شهرکی گفتن تولید کنیم این اتفاق نمی افته.
اگه کوکی به سرقت بره دیگه چه فرقی میکنه.
اصلا بحث سر چیه؟
ما که نفهمیدیم!!!
(21-07-1394، 12:45 ق.ظ)bgsrb88 نوشته: [ -> ]اگه کوکی به سرقت بره دیگه چه فرقی میکنه.
اصلا بحث سر چیه؟
ما که نفهمیدیم!!!
بحث سره همین تفاوته دیگ!!! والاه منم نفهمیدم کوکی به سرقت بره چه فرقی میکنه!!! الکی حجم دیتابیس اشغال میشه
حالا اگه کوکی رو با یه کلمه امن هش کنیم نمیتونن بدزدن
من نگفتم روش شما امن نیست. بهرحال باید یه شناسه ای بگذارین که مشخص بشه کوکی مال کیه. حالا توی یه روش میاد توی دیتابیس ذخیره میکنه و توی یه روش دیگه توی کوکی و دقت کنید که کوکی مصرف ترافیک رو بالا میبره چون در هر درخواست باید این اطلاعات ازطرف کلاینت بیاد سمت سرور و بعد از پردازش، دوباره در جواب برای کلاینت ارسال بشه تا توی مرورگر ذخیره بشه. هر سایتی یه روشی رو استفاده میکنه و این به معنای اشتباه بودن روش دیگران نیست. ازطرفی وقتی یکسری اطلاعات سمت سرور باشه میتونید علاوه بر کد auth مواردی مثل IP و... رو هم ذخیره کنید تا کوکی درصورت به سرقت رفتن، از اعتبار ساقط بشه. درهرحال میخوام بگم روشی که گفتم، فقط یکی از روشهای مرسوم هست نه اینکه منظورم بهتر یا بدتر بودن روش خاصی باشه.