ציטוט:
|
נכתב במקור על ידי DreaMonster
סתכל....בגרסא הקודמת של המערכת שלי הID של המשתמש נשמר בעוגיה
כלומר מי שרוצה...נכנס לעוגיה...עורך את המספר...והופה הוא מחובר כמשתמש אחר
עכשיו אני רוצה שמי שינסה לערוך לא יצליח...אז החלטתי להצפין את הID בהצפנות דו כיווניות
עכשיו...
יש את הסיכון שיפרצו למחשב של משהו
ויקחו משם את העוגיות....ואז אותו פורץ יוכל להתחבר למערכת בעזרת העוגיות שהוא גנב....וככה הוא יהיה מוחובר למשתמש של אותו אדם...אני רוצה למנוע שימוש בעוגיות ממחשב אחר....כיצד?
|
סיכוי יותר גדול שימצאו לך באתר XSS מאשר שיפרצו למחשב של מישהו.
ואף פעם לא שומרים רק נתון אחד בעוגיה לביצוע אימות, אלא תמיד שומרים שניים או יותר.
ואני לא מבין את הבעיה בין לבחור SESSION או COOKIE, המטרות שלהם שונות בתכלית.