7
תגובות
קראתי לא מזמן את המאמר כל האמת על קוקיס שוב על מנת לראות אם פיספסתי משהו.
בכל מקרה שמתי לב למשפט הבא של אלכס: "רק תעשו טובה, אל תשמרו בקוקי את שם המשתמש והסיסמה. מישהו אחר פשוט ייגש למחשב, יפתח את רשימת הקוקי, יעתיק את הנתונים וילך לבצע מעשים זדוניים", לשמור אותן בסשן למשתמש שמעוניין להיות מחובר גם אחרי סגירת הדפדפן אינה אופציה, אך אלכס אומר לא לשמור את הפרטים שלו בקוקי בפירוש.
אם אני לא אשמור אותן בקוקי כיצד אוכל בכל רענון של הדף לבדוק את אמיתות פרטי המשתמש?

7 תשובות

avatar ענה yotamN ב 13 לינואר 2014 #

אתה מתכוון שבכל טעינה האתר יבדוק אם גם הסיסמה וגם שם המשתמש נכונים?

avatar ענה yossi787 ב 13 לינואר 2014 #

גם אני נתקלתי בבעיה הזאת^
אבל אם שומרים בסשן עם הצפנה חד-כיוונית, גם אז יש בעיה?

avatar ענה vu47678 ב 13 לינואר 2014 #

עדיף בכלל להמנע משמירה בקוקיס, תשמור בסשיין והכל יהיה בסדר

avatar ענה zacharya ב 13 לינואר 2014 #

@yotamN
כמובן, אם אשמור רק את ID המשתמש או משהו כזה, הוא יוכל לשנות את הקוקי לID אחר וככה הוא יגלוש לי ממשתמש אחר.

@vu47678
@yossi787
הבעיה בסשן שהוא נמחק בסגירת הדפדפן, אני מעוניין להעניק למשתמשים אפשרות לבחור להשאר מחוברים גם לאחר הסגירה.

avatar ענה yotamN ב 13 לינואר 2014 #

@zacharya אני לא חושב שזה אפשרי, לרוב משתמשים במשהו כה מאובטח כאשר עושים פאנל ניהול ואז במקרה הזה אין צורך בלהתנתק כשהדפדפן נסגר

avatar ענה vu47678 ב 13 לינואר 2014 #

אז תעשה משהו כזה, זה מסובך קצת אבל יכול לתת לך פתרון
תיתן לכל אחד מזהה ייחודי בהתחברות שלו ותשמור אותו בקוקי ובדאטה בייס.
אחרי זה שהוא נכנס לאתר תמשוך את המזהה הייחודי ואם זה מתאים לזה שבדאטה בייס אתה יכול לחבר אותו אוטמטית.

avatar ענה OrelBeY ב 13 לינואר 2014 #

אין בכלל צורך לערב את הסיסמה (וכדאי מאוד שלא).
אם תסתכלו כמו שצריך בתגובות על המאמר תראו את הקישור לקטע הקוד הזה.

מגיב א': הנה אז אתה מסכים שבקוקי שומרים: שם משתמש וסיסמא מוצפנת?
מגיב ב': לא. תשמור שם משתמש ושם משתמש מוצפן
ID ו ID מוצפן או כל מזהה אחר. לא צריכה להיות שם סיסמה של משתמש ואין שום סיבה שתהיה שם.