Користувач входячи на сайт вказує, щоб наступного разу вхід був автоматичним. Зрозуміло, що інформація про нього зберігається в кукі.
Яку саме інформацію потрібно зберігати в куки?
В якому вигляді? Тобто застосовується тут якесь шифрування?
Як на стороні сервера зберігається сесія на довгий час, щоб потім відновити її з значень з куки?
Мова програмування не важливий. Потрібно зрозуміти концепцію.
Сервер робить який-небудь довгий ключ і зберігає його у себе в базі даних, наприклад. Потім створюємо у клієнта кукис з таким же ключем і довгим терміном дії.
Міняти не забуваємо. Інакше не можна буде відстежити, що у тебе вкрали куку з потрібними даними. А щоб ключ гарантовано не збігся - беремо його, наприклад, як md5 хеш від імені користувача та поточної епок дати.
Дякуємо.
А що ви думаєте про stateless сесію? Як бути без куки?
Яку саме інформацію потрібно зберігати в куки?
В якому вигляді? Тобто застосовується тут якесь шифрування?
Як на стороні сервера зберігається сесія на довгий час, щоб потім відновити її з значень з куки?
Все зберігається в БД.
А що ви думаєте про stateless сесію?
Випадково, питання не з серії SUN JavaEE?
Міняти не забуваємо. Інакше не можна буде відстежити, що у тебе вкрали куку з потрібними даними.
Міняти не забуваємо. Інакше не можна буде відстежити, що у тебе вкрали куку з потрібними даними.
Міняти не забуваємо. Інакше не можна буде відстежити, що у тебе вкрали куку з потрібними даними.
Добре б не тільки, при кожному логін, а й при зміні таких параметрів, як IP, юзерагент і т.п. З IP більш секурно, але діалаперу доведеться логінитися кожен раз по новій.
Добре б не тільки, при кожному логін, а й при зміні таких параметрів, як IP, юзерагент і т.п. З IP більш секурно, але діалаперу доведеться логінитися кожен раз по новій.
Навіщо стільки проблем?
Краще рішення - просте рішення.
md5 хеш від імені користувача та поточної епок дати.
Дурніші придумати нічого не можна.
Знаючи приблизний час входу, підібрати сесію без проблем.
Краще від пароля брати частину.
У куках, я зберігаю ось таку комбінацію:
Дурніші придумати нічого не можна.
Знаючи приблизний час входу, підібрати сесію без проблем.
Складно, тому що додатковий захист повинні забезпечувати сіль і контрольна сума.
Краще від пароля брати частину.
Имхо, не варто використовувати пароль для таких цілей.
md5 хеш від імені користувача та поточної епок дати.
Дурніші придумати нічого не можна. Знаючи приблизний час входу, підібрати сесію без проблем. Краще від пароля брати частину.
В общем-то використання рандомних величин в зв'язці з цим малося на увазі за замовчуванням. Просто не можна використовувати тільки рандом. Потрібно ще якісь унікальні для користувача велечіни, т-к на жаль і ах, рандом не унікальний. А пароль краще навіть у вигляді хешу не світити, мало-ли, брутфорс ні хто не відміняв над упертою кукой.