| |
|
|
| | Вот я смотрел у вас на сайте про куки про их безопасность и узнал что для безопасности куков их можно зашифровать и запрос защитить (цифрой 1) и подобные комбинации для защиты.
Скажите это оправдывает защиту, после подобных операции можно спокойно использовать кук или же это все просто усложняет жизнь взломщикам НО не ограничивает 100%-ой защитой? | |
| |
|
|
| |
|
|
| |
для: Dazzl
(15.07.2011 в 09:30)
| | | Важные данные в куках вообще лучше не передавать. Только служебную информацию, которую подделывать не имеет смысла. Важную информацию лучше хранить в сессии, а в куках будет только ее идентификатор. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(15.07.2011 в 09:30)
| | | Все что зашифровано может быть расшифровано)
Шифруют в куках обычно ту информацию, изменение пользователем которой не желательно. Но если при этом у пользователя эти куки украдут - взломщику ничто не помешает установить их себе и выдать себя за этого пользователя (ну или исползьовать их в своих иных целях). | |
| |
|
|
| |
|
|
| |
для: Гость
(15.07.2011 в 10:46)
| | | А разве вы не говорили что сессия касается куков и что это можно использовать и узнать данные сессии? мне важно безопасно хранить данные в сессии. я согласен что 100%-ю защиту не кто не гарантирует, но хотя бы "сильно усложнить задачу злоумышленникам". | |
| |
|
|
| |
|
|
| |
для: Dazzl
(15.07.2011 в 09:30)
| | | Если cookie крадут, это усложняет жизнь взломщикам, теоретически пароль может быть подобран, хотя если он длинный, а метод шифрования надежный, у взломщика может не оказаться ресурсов для того, чтобы его расколоть. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.07.2011 в 11:18)
| | | а я ещё с одним термином знаком "соль". если хорошенько посолить зашифрованный кук тогда он будет достаточно длинным. это поможет?
и ещё вопрос мы с тобой ща говорим непосредственно о куках, а мне нужно надёжная сессия, т.е. зашифровать можно (наверное) тока объявленный кук, непосредственно прописанный на сервере, а мне нужно обезопасить этот "идентификатор" который позволяет оборотиться к сессионным данным.
эти 2 вопроса иду параллельно в нашем диалоге? или мы ща говорим непосредственно о куках? | |
| |
|
|
| |
|
|
| |
для: Dazzl
(15.07.2011 в 11:34)
| | | В обратимом шифровании, а cookie придется шифровать именно так, используется ключ, имя этого параметра $salt - соль. Тут скорее большую роль играет метод шифрования.
>эти 2 вопроса иду параллельно в нашем диалоге? или мы ща говорим непосредственно о куках?
Мы говорим о cookie, так как в сессии используется уникальный идентификатор, подобрать который практически не реально. А учитывая, что на многих серверах время жизни сессии порядка 14 минут - в краже тоже толку не много - это нужно очень расторопно действовать. Да и совершить массвое воровство сессий - это почти невозможная задача, ну если уж только сайт будет утыкан XSS-инъекциями. Это не самая проблемная область, хорошо, что вы ей уделяете внимание, но скоро у вас вырабатаются правила работы в с данными, вводимыми пользователями и вы про эту проблему забудите. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.07.2011 в 11:39)
| | | Ясно. спасибо! | |
| |
|
|
