لدي سؤال هل يمكن الحصول على البيانات المخزنة في الكوكيز لموقع اخر كالفايسبوك مثلا بالحصول على ايدي زائر الموقع اذا كان حسابه مفتوحا
كيف ؟
الكوكيز قد يحوي معلومات خطيرة أينعم، لكن لا يصل ذلك إلى كلمات المرور (حتى ولو مشفرة) موقع الويب الذي يحفظ كلمة مرور في الكوكيز لا يتحمل مسؤلية حماية بيانات مستخدميه.
موقع الويب الذي يحفظ كلمة مرور في الكوكيز لا يتحمل مسؤلية حماية بيانات مستخدميه
وهل هناك حل آخر لتخزين كلمات المرور بشكل آمن غير الكوكيز ؟
الذي أعرفه ، لبرمجة موقع فيه تسجيل دخول ويحافظ المتصفح على تسجيل الدخول حتى بعد إغلاق الحاسوب
حتى الجلسات يتم استخدام الكوكيز فيها وإلا فإنه يجب كتابة كلمة المرور من قبل المستخدم في كل زيارة
إذن هل هناك حل بدون كوكيز ؟
يستخدم الكوكيز في تسجيل الدخول لكن لا تحفظ به كلمات المرور أبدًا!
أي بيانات مهمة مفترض ألا تحفظ في الخادوم وبدلا من حفظها في الكوكيز تستخدم الجلسات.
في العموم يحفظ معرف للجلسة (Session id)، فريد لكل مستخدم في المتصفح، وبيانات المستخدم المهمة تظل محفوظة في ناحية الخادم، ومتطابقة مع الجلسة.
لزيادة الأمان أي موقع محترم يربط الجلسة بمعلومات عن المستخدم، مثلا لو متصرم رقم الـIP، أو على الأقل منطقة تسجيل الدخول (سجل الدخول من السعودية، لا يمكن استخدام مفتاح الجلسة من أمريكا)، نوع المتصفح، معلومات كاللغة ونظام التشغيل، حتى يضمن أنه المستخدم الذي سجل الدخول وليس شخص سرق المعرف.
حتى في حالة سرقة مفتاح الجلسة المفترض ألا تمكن من تغير كلمة المرور مثلا، أو معرفتها، بدون كتابة كلمة المرور القديمة.
الجلسات موجودة افتراضيا مع PHP وأغلب إطارات العمل لتطوير الويب.
في حالة حفظ كلمة المرور في الكوكيز أنت تعرض مستخدمك لخطر محتم في سرقة كلمة المرور، إذا كان الموقع يستخدم برتوكول HTTP، أو أي مالوير، أو إضافة متصفح.
أولا شكرا على هذا التنبيه
لم أكن أعرف أن session يمكن ضبطها على مدة معينة مثل الكوكيز
إذن هل الطريقة هي تخزين كلمة المرور في session وفي كل مرة تطلع على كلمة المرور يجب التحقق من أنها صحيحة ؟
أم يكفي تخزين متغير باسم isLogin بقيمة 1 مثلا دون الحاجة لإعادة التحقق من كلمة المرور ؟
لا، هذا سلوك سيء جدًا ولا فائدة منه ترتجى؛ فمثلا لا تنفع في التأكد من أي كلمة مرور سجّل، فعند تغير كلمة المرور أو أي معلومات حساسة يكفي أن تحذف الجلسات لهذا المستخدم جميعًا.
ولا تنفع تأمينا فإذا تمكن أحد المستخدمين من زرع جلسة فهو بالفعل تمكن من الخادوم، أو قاعدة البيانات (في حال حفظ الجلسات بقاعدة البيانات).
يكفي معرف المستخدم كبيانات أولية.
المنصح به هو استخدام خوارزمية جاهزة من إطار عمل أو مكتبة، وريح بالك وبال مستخدمي موقعك.
لكني لاحظت أن بعض المواقع تصل اليها ك
بحيت عندما تدخل اليه يقوم بتسجيل الدخول للفايسبوك الخاص بالزائر
شاهدت ذلك في اكثر مموقع
التعليقات