Autor | Zpráva | ||
---|---|---|---|
running Profil |
#1 · Zasláno: 28. 4. 2007, 23:39:02
Nějak přesně nemám jasno ve funkci cookies (dělám takovou menší věc v RoR, ale ono vlastně neni důležitý, v čem to dělám, jde mi o obecnou funkci).
Po přihlášení na server se mi někam na disk uloží cookie s nějakým "user ID", kde je napsáno, co jsem za uživatele, abych se nemusel po každém kliknutí přihlašovat. Co mi (resp. potencionálnímu útočníkovi) ale potom brání vzít tu cookie a to ID změnit a bez námahy být přihlášen na někoho jiného? |
||
nightfish Profil |
#2 · Zasláno: 29. 4. 2007, 00:11:26
running
do cookie je lepší ukládat identifikátor relace (session) a login a informaci o přihlášení zůstane uložená v session na serveru ukládat do cookie login přihlášeného uživatele (a spoléhat na to jako na jediný identifikační údaj) je dost velká bezpečnostní díra |
||
prejezd Profil |
#3 · Zasláno: 29. 4. 2007, 00:16:08
Mslim, že je to tak (nevim jestli mam tak uplně pravudu :) session zůstane uložený dokud nezavřeš prohlížeš a cookie tam bude pořád
|
||
running Profil |
#4 · Zasláno: 29. 4. 2007, 00:41:13
nightfish
aha! tak to jsou pak Rails chytřejší, než jsem si myslel; měl jsem dojem, že session[něco] je synonymum cookie[něco] - až teď chápu, co to vlastně session znamená. díky! |
||
esemeska Profil |
#5 · Zasláno: 29. 4. 2007, 10:09:43
running
Nebo ještě můžeč do cookies ukládat ID + zašifrované heslo, což pak při každém načtení stránky porovnáš s údaji v databázi. |
||
Časová prodleva: 17 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0