Proč ukládat relace na serveru namísto uvnitř cookie?

hlasů
8

Byl jsem pomocí baňky již nějakou dobu a jsem opravdu těší rámec. Jedna věc, kterou nechápu, je, že téměř ve všech ostatních místech mluví o ukládání relace na serveru a ID relace na straně klienta, který by pak identifikovat relaci. Však po použití baňku, I dont cítí potřebu, aby tak učinily. Uložení relace jako cookie na straně klienta kryptograficky slouží můj účel a vypadá docela bezpečné taky. Jediná věc, že ​​nejsem schopen k šifrování klíčů relace pro např:

session['life'] = 'the great one'

se zobrazí jako

life='gfhjfkjdfa some encryption kj'

v cookie uloženy na straně klienta. Ale jak by to jedno, protože to je stále šifrována. Jsem si jist, že lidé zde znát věci mnohem lépe než já, takže požádat někoho potěšit vyjasnit :-)

Položena 16/10/2010 v 13:57
zdroj uživatelem
V jiných jazycích...                            


4 odpovědí

hlasů
7

Je-li zapotřebí údaje relace na serveru, to dává smysl, aby jej uložit na server. Udržuje se datový objem poslal tam a zpět od klienta. Také, cookies mají limit na množství dat, které lze uložit.

Odpovězeno 16/10/2010 v 14:05
zdroj uživatelem

hlasů
14

I když vaše data jsou šifrována, uživatel mohl ještě vrátit jejich cookie do předchozího stavu (pokud začnete kódování jednorázové ID, atd)

např cookie říká, že uživatel má 100 kreditů, uživatel stráví 100 kreditů, dostanou nový cookie říká, že mají 0 kreditů. Ty by pak mohly obnovit své předchozí cookie (s 100 kreditů).

Podle toho, jak zašifrovat cookie, může být uživatel schopen odstranit klíče, vložte falešné údaje atd taky.

Odpovězeno 16/10/2010 v 14:16
zdroj uživatelem

hlasů
6

Kromě již výše uvedených bodů

  1. Uživatelé mohou cookies zakázat pomocí nastavení prohlížeče. Mnoho antivirových skenerů také skenovat a vlajky cukroví jako riziko, protože z nich, které mohou také vést k sušenek nejsou povoleny v počítači uživatele.

  2. Cookies mohou být vymazány uživatelem i uprostřed svého zasedání. (Ve skutečnosti, i nechtěně udělal, že druhý den, když jeden můj počítač skenuje uvedeny sledovací soubory cookie ... a já prostě kliknul „Clean“ a všichni byli pryč). V případě, že uživatel se stane smazat cookies se uživatelé stav bude ztracen.

Máte-li používat cookies řídit celý stát, ty jsou vždy závislé na prostředí klienta a jeho nastavení. V jako takový, budete pravděpodobně potřebovat aspoň pád zpět mechanismus v případě, že jsou soubory cookie mazat / etc zakázané, aby vaše aplikace pracovat správně.

Odpovězeno 16/10/2010 v 14:38
zdroj uživatelem

hlasů
1

Implementace SecureCookie baňka používá nezašifruje hodnoty . Jediná věc, která je zajištěno, že uživatel nemůže upravovat cookies, aniž by věděl tajemství používané aplikací.

Odpovězeno 30/10/2010 v 09:21
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more