בכל מקרה שמתי לב למשפט הבא של אלכס: "רק תעשו טובה, אל תשמרו בקוקי את שם המשתמש והסיסמה. מישהו אחר פשוט ייגש למחשב, יפתח את רשימת הקוקי, יעתיק את הנתונים וילך לבצע מעשים זדוניים", לשמור אותן בסשן למשתמש שמעוניין להיות מחובר גם אחרי סגירת הדפדפן אינה אופציה, אך אלכס אומר לא לשמור את הפרטים שלו בקוקי בפירוש.
אם אני לא אשמור אותן בקוקי כיצד אוכל בכל רענון של הדף לבדוק את אמיתות פרטי המשתמש?
7 תשובות
ענה
ענה
גם אני נתקלתי בבעיה הזאת^
אבל אם שומרים בסשן עם הצפנה חד-כיוונית, גם אז יש בעיה?
ענה
ענה
@yotamN
כמובן, אם אשמור רק את ID המשתמש או משהו כזה, הוא יוכל לשנות את הקוקי לID אחר וככה הוא יגלוש לי ממשתמש אחר.
@vu47678
@yossi787
הבעיה בסשן שהוא נמחק בסגירת הדפדפן, אני מעוניין להעניק למשתמשים אפשרות לבחור להשאר מחוברים גם לאחר הסגירה.
@zacharya אני לא חושב שזה אפשרי, לרוב משתמשים במשהו כה מאובטח כאשר עושים פאנל ניהול ואז במקרה הזה אין צורך בלהתנתק כשהדפדפן נסגר
אז תעשה משהו כזה, זה מסובך קצת אבל יכול לתת לך פתרון
תיתן לכל אחד מזהה ייחודי בהתחברות שלו ותשמור אותו בקוקי ובדאטה בייס.
אחרי זה שהוא נכנס לאתר תמשוך את המזהה הייחודי ואם זה מתאים לזה שבדאטה בייס אתה יכול לחבר אותו אוטמטית.
ענה
אין בכלל צורך לערב את הסיסמה (וכדאי מאוד שלא).
אם תסתכלו כמו שצריך בתגובות על המאמר תראו את הקישור לקטע הקוד הזה.
מגיב א': הנה אז אתה מסכים שבקוקי שומרים: שם משתמש וסיסמא מוצפנת?
מגיב ב': לא. תשמור שם משתמש ושם משתמש מוצפן
ID ו ID מוצפן או כל מזהה אחר. לא צריכה להיות שם סיסמה של משתמש ואין שום סיבה שתהיה שם.