קוקיז או סשן? מה עדיף?

[eLad]

קודם כל, נפלה טעות הקלדה קטנה. אין שום צורך בהקדלת הסיסמא מחדש. לא צריך להרוג בנאדם בשביל זה

סה"כ מה שאני שומר בעוגייה זה שני דברים:
ID של משתמש
קוד רנדומאלי שיצרתי לו (כמובן שבעוגייה זה מוצפן ובמסד זה לא מוצפן)

בכל התחברות מחדש (אחרי התנתקות יזומה) של המשתמש בפורום שלי, אני מחליף את הקוד הרנדומאלי שיצרתי בקוד רנדומאלי אחר.

ציטוט:

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

ממש לא! זה הרבה יותר מאובטח מהשמת סיסמא בעוגייה!

קודם כל נקדים ונאמר שנגד XSS אין שום פתרון ואם גנבו את העוגייה אז המצב קשה וצריך לבדוק איך בדיוק תוכנת האתר.

למה זה יותר מאובטח? אתה תשים סיסמא מוצפנת בעוגייה. אני אגנוב לך את העוגייה ואז אני יכול לפענח בקלות את הסיסמא של המשתמש (אני לא צריך לדעת את הסיסמא המקורית, מספיק שאני מחפש ביטוי באינטרנט שמחזיר לי את אותו פלט md5) ואז החלק החשבון משתמש פייפל.

בשיטה שלי במידה ונגנבה העוגייה, המשתמש סה"כ צריך להתנתק מהחשבון שלו ולהתחבר מחדש ובכל נוצר לו קוד רנדומאלי חדיש חדש והעוגייה שבידי הגנב לא שמישה עוד.