كيف تؤمن المواقع ملفات الكوكيز ؟ طلب للنقاش

السلام عليكم

من المعلومات ان يتم ارسال ملف كوكيز مع عملية تسجيل دخول المستخدم للموقع

ويتم حفظ هذه المعلومة بالمتصفح، في هذه الحالة هل تكون بيانات المستخدم في مأمن من السرقة ؟

بالطبع كما يقول الكثيرون لا.

فيأتي السؤال كيف يمكن حفظ هذه البيانات بحيث لو حصل احد على ملف الكوكيز لا يمكنه طلب بيانات المستخدم ؟

ماهي الطرق المستخدمة لدى المواقع الان لتأمين البيانات من السرقة، على سبيل المثال حسوب هنا.


عند تسجيل الدخول يتم حفظ رمز فريد في الكوكيز، (هذا الرمز هو رقم الجلسة session على السيرفر) (وهذا الرمز الفريد هو فقط رقم عشوائي غير متكرر)

عند تكرار الزيارة بدلا من إعادة تسجيل الدخول يتم فقط إرسال هذا الرمز إلى الموقع ليعرف الموقع أنه سبق لك تسجيل الدخول

إذا سرق شخص آخر هذا الرمز فسيستطيع إنتحال شخصيتك بالنسبة للموقع

يمكن سرقة الكوكيز في حالتين

إذا كان الموقع نفسه فيه ثغرة تسمح لشخص بتنفيذ كود javascript في متصفح شخص آخر، مثل هجمة xss

إذا كان جهاز المستخدم فيه فيروس يستطيع سرقة الكوكيز أو إضافة غير موثوقة في المتصفح

لجعل هذا الرمز الفريد مرتبط جيدا بالمستخدم الأصلي وصعب الإستخدام في جهاز آخر

يمكن حفظ بلد المستخدم و ip و نسخة المتصفح و نوع الجهاز

وبالتالي عندما تتم سرقة الرمز سيصعب على السارق توفير جميع الشروط

ولكن بالنهاية تبقا المسؤولية على عاتق الموقع والمستخدم معا لتجن ب سرقة هذا الرمز

موقع : سيزار للتقنية

www.sizar-tech.com