ugrás a tartalomhoz

Cookie "hamisítás" belépésnél

unregistered · 2016. Dec. 1. (Cs), 11.42
Sziasztok!

Egy elméleti kérdésem lenne csak, miszerint ha elmentődik cookieban belépés után hogy a felhasználó kicsoda pl: login_user = felhasznalo##kukac##domain.com vagy akár csak egy id számot kap pl 1234 akkor ezt lehet-e hamisítani a felhasználói oldalon és átírhatná-e másik e-mail címre vagy számra?

Előre is köszönöm!
‹ Petíciók Eladó a hardver.shop domain ›
 
1

A süti a kliens és a szerver

Poetro · 2016. Dec. 1. (Cs), 12.25
A süti a kliens és a szerver közötti állandó adatok átvitelére használható. A kliens is módosítani tudja az értékét, sőt újabb sütiket küldhet a szervernek. JavaScript-tel is lehet a sütiket módosítani a böngészőben, de csak akkor ha azok nem HttpOnly sütik.
Egyszóval a sütikben csak olyan adatot szabad tárolni, amiről a kliens tudhat. Valamint nem szabad feltételezni, hogy a kliens nem fogja, vagy nem tudja megváltoztatni az értékét.
2

Signed cookies

dyuri · 2016. Dec. 5. (H), 20.23
Egyebkent nem ordogtol valo amire gondolsz, ha a tarolando adat valamilyen megbizhato modon ala van irva a cookieban. Ha ilyet szeretnel hasznalni, akkor azt javaslom, hogy ne magad probald implementalni az alairast, hanem valami jol karbantartott meglevo megoldast hasznalj.
Signed cookies
3

Máshogy

unregistered · 2016. Dec. 6. (K), 16.48
Inkább írok példát, mert lehet nem jól tettem fel a kérdést, tehát vegyük ezt a fórumot.
Belépés után mondjuk elmentődik egy cookie az e-mail címemmel (vagy neve, id-ja, stb), akkor az biztonsági kockázat-e?
Gondolok arra hogy ha az oldal a cookie alapján "tölti ki" az adatbázisban hogy egy hozzászólást ki írt akkor ezt lehet-e könnyen hamisítani például úgy hogy egy admin e-mail címe (vagy neve, id-ja, stb) kerüljön be?
4

Mivel a süti kliens oldalon

Poetro · 2016. Dec. 6. (K), 17.01
Mivel a süti kliens oldalon szabadon módosítható, annak bármilyen formában történő felhasználása szerver oldalon biztonsági kockázat. Ezért generálnak például a munkamenet kezelő alkalmazások olyan tokent, aminél minimális az esélye az ütközésnek. Azaz hiába tudod, milyen algoritmussal generálták a tokent, nem fogod tudni kitalálni a többi felhasználó tokenjét (mert például elegendő kombináció van).

Ezért csak olyan adatot tárolj benne, ami alapján a felhasználót azonosítani tudod, és az adat nem könnyen előállítható, és elegendő kombináció létezik. Legjobb, ha a munkamenetet adatbázisban tárolod, ekkor jobban tudod az alkalmazásodat skálázni, ha még több szerverre van szükséged.
5

Végeredmény

unregistered · 2016. Dec. 6. (K), 18.32
Okés kb így sejtettem, csak szerettem volna körbejárni, tehát cookieban csak olyat szabad tárolni hogy a példánál maradva hogy hány hozzászólás látszik aminél még meg is "okosítják" nincs közvetlen következménye... akkor ide kilyukadva nem is értem hogy a sütinek igazából milyen tényleges haszna van azon kívül hogy faszán profilozni lehet a felhasználókat belőle.
6

Adatok

Poetro · 2016. Dec. 6. (K), 18.42
A sütikkel adatokat továbbítasz a kliens és a szerver között, anélkül, hogy bármit is módosítani kellene a kódodon. Azaz nem kell például minden hivatkozáshoz hozzáadni egy query stringet, vagy további fejléceket adni a HTTP kéréshez. Mindent automatikusan megtesz a böngésző helyetted. Ráadásul a süti egészen lejártáig friss marad, ami akár heteket, hónapokat is jelenthet. Leginkább munkamenetet és bejelentkezés nélküli oldal testreszabást érdemes benne tárolni, mint például rendezés típusa, oldal színsémája stb.
7

Igen, de ha egy

unregistered · 2016. Dec. 7. (Sze), 11.01
Igen, de ha egy bejelentkezésen alapuló oldalról van szó (és még mindig csak elméletileg kérdezem mert én sem így használom) akkor a munkamenet tárolásán kívül minden egyebet lekezelhet a szerver nem?
8

Szerver

Poetro · 2016. Dec. 7. (Sze), 12.42
Igen, mindent lekezelhet a szerver, de a munkamenet tárolása eléggé megterhelő lehet a szerver számára, ráadásul nem is mindig szükséges munkamenetet indítani, főleg kevésbé bonyolult alkalmazásokhoz. És ugye a munkamenet is a szerveren tárolódik, csak maga a token kerül a klienshez, amivel azonosítja magát, hogy övé a munkamenet.
9

Köszönetnyilvánítás

unregistered · 2016. Dec. 8. (Cs), 08.33
Köszönöm szépen mindenkinek a segítséget, kielégítődött ilyen irányú perverzióm :)