Autor Zpráva
running
Profil
Nějak přesně nemám jasno ve funkci cookies (dělám takovou menší věc v RoR, ale ono vlastně neni důležitý, v čem to dělám, jde mi o obecnou funkci).

Po přihlášení na server se mi někam na disk uloží cookie s nějakým "user ID", kde je napsáno, co jsem za uživatele, abych se nemusel po každém kliknutí přihlašovat. Co mi (resp. potencionálnímu útočníkovi) ale potom brání vzít tu cookie a to ID změnit a bez námahy být přihlášen na někoho jiného?
nightfish
Profil
running
do cookie je lepší ukládat identifikátor relace (session) a login a informaci o přihlášení zůstane uložená v session na serveru
ukládat do cookie login přihlášeného uživatele (a spoléhat na to jako na jediný identifikační údaj) je dost velká bezpečnostní díra
prejezd
Profil
Mslim, že je to tak (nevim jestli mam tak uplně pravudu :) session zůstane uložený dokud nezavřeš prohlížeš a cookie tam bude pořád
running
Profil
nightfish

aha! tak to jsou pak Rails chytřejší, než jsem si myslel; měl jsem dojem, že session[něco] je synonymum cookie[něco] - až teď chápu, co to vlastně session znamená. díky!
esemeska
Profil
running
Nebo ještě můžeč do cookies ukládat ID + zašifrované heslo, což pak při každém načtení stránky porovnáš s údaji v databázi.
Toto téma je uzamčeno. Odpověď nelze zaslat.