هل يمكن الحصول على البيانات المخزنة في الكوكيز لموقع اخر كالفايسبوك ؟

لدي سؤال هل يمكن الحصول على البيانات المخزنة في الكوكيز لموقع اخر كالفايسبوك مثلا بالحصول على ايدي زائر الموقع اذا كان حسابه مفتوحا

كيف ؟

أي بيانات مهمة مفترض ألا تحفظ في الخادوم وبدلا من حفظها في الكوكيز تستخدم الجلسات.
في العموم يحفظ معرف للجلسة (Session id)، فريد لكل مستخدم في المتصفح، وبيانات المستخدم المهمة تظل محفوظة في ناحية الخادم، ومتطابقة مع الجلسة.
لزيادة الأمان أي موقع محترم يربط الجلسة بمعلومات عن المستخدم، مثلا لو متصرم رقم الـIP، أو على الأقل منطقة تسجيل الدخول (سجل الدخول من السعودية، لا يمكن استخدام مفتاح الجلسة من أمريكا)، نوع المتصفح، معلومات كاللغة ونظام التشغيل، حتى يضمن أنه المستخدم الذي سجل الدخول وليس شخص سرق المعرف.
حتى في حالة سرقة مفتاح الجلسة المفترض ألا تمكن من تغير كلمة المرور مثلا، أو معرفتها، بدون كتابة كلمة المرور القديمة.

الجلسات موجودة افتراضيا مع PHP وأغلب إطارات العمل لتطوير الويب.

في حالة حفظ كلمة المرور في الكوكيز أنت تعرض مستخدمك لخطر محتم في سرقة كلمة المرور، إذا كان الموقع يستخدم برتوكول HTTP، أو أي مالوير، أو إضافة متصفح.

Zakaria Mouhid

2018-02-05T11:53:16+00:00
المزيد
- رابط مختصر

أولا شكرا على هذا التنبيه

لم أكن أعرف أن session يمكن ضبطها على مدة معينة مثل الكوكيز

إذن هل الطريقة هي تخزين كلمة المرور في session وفي كل مرة تطلع على كلمة المرور يجب التحقق من أنها صحيحة ؟

أم يكفي تخزين متغير باسم isLogin بقيمة 1 مثلا دون الحاجة لإعادة التحقق من كلمة المرور ؟

يوسف سيّد

2018-02-05T13:11:17+00:00
2018-02-05T13:11:49+00:00
المزيد
- رابط مختصر

لا، هذا سلوك سيء جدًا ولا فائدة منه ترتجى؛ فمثلا لا تنفع في التأكد من أي كلمة مرور سجّل، فعند تغير كلمة المرور أو أي معلومات حساسة يكفي أن تحذف الجلسات لهذا المستخدم جميعًا.

ولا تنفع تأمينا فإذا تمكن أحد المستخدمين من زرع جلسة فهو بالفعل تمكن من الخادوم، أو قاعدة البيانات (في حال حفظ الجلسات بقاعدة البيانات).

يكفي معرف المستخدم كبيانات أولية.

المنصح به هو استخدام خوارزمية جاهزة من إطار عمل أو مكتبة، وريح بالك وبال مستخدمي موقعك.