Session və Cookie istifadəsi təhlükəszidirmi?

Salam, belə bir sualım var. PHP-də session və cookie istifadəsi nə dərəcədə təhlükəsizdir? Bunlar 3-cü tərəfin əlinə keçə bilərmi? Session və cookie-lərdə hansı məlumatları saxlamaq düzgündür? Cookie məlumatları serverdə saxlanılır. Bildiyimə görə SSL sertifikatı almaq lazımdır ki, məlumatları şifrələsin. (bəzi saytlar var ki cookiləri oxuyur məs: ubuntu.com) Bəs bundan əlavə özüm də dataları şifrələməliyəm təhlükəsizlik baxımından? (Əgər etməliyəmsə bunu tək tərəfli şifrələməylə yoxsa iki tərəfli şifrələməylə etməliyəm?) Hə bir də session. Bunu da həmçinin şifrələmək lazımdı? Bu brauzerdə saxlanılırsa kimsə tərəfindən oxuna bilər? Nə bilim ən azından özündən bir brauzer yaradıb dataları götürə bilməz?


Yadda saxlama
Kateqoriya: Sual . , , , . Qısa keçid.

Verilmiş cavablar və yazılan şərhlər (10 cavab var)

(16:14, 23/08/2016 ) #64711

Salam. Bir qədər yanlışlıqlar var sualda. Öncə onları düzəldək:

1. “Cookie məlumatları serverdə saxlanılır” – Xeyr, Cookie istifadəçi brauzerində olur. Sessiya isə serverdə.
2. “bəzi saytlar var ki cookiləri oxuyur məs: ubuntu.com” – Bütün saytlar cookie istifadə edir və istədiyində onu oxuyur, ubuntu zad o mesajı yazması texniki yox, hüquqi məsələdir. Avropa Birliyinin məcbur etdiyi bir mənasız bürokratik qanunla bağlıdır, bəzi saytlar da məcburən o bildirişi yazır ki yəni xəbəriniz olsun ki, cookie istifadə edirik.
3. Ötürülən trafikin(istər məzmun, istərsə də headerdə olan informasiya) şifrələnməsi üçün bəli SSL istifadə edilir. Əlavə şifrələmə aparmağınıza gərək yoxdur.

Sessiya və Cookie-dən düzgün istifadə etdikdə heç bir təhlükəsi yoxdur. Əlavə şifrələməyə də gərək yoxdur.

Sualı bir qədər dəqiqləşdirməniz lazımdır. Sizin çəkindiyiniz nədir? Nəyin kimin əlinə keçməsindən çəkinirsiz?

Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

    (16:26, 23/08/2016 ) #64712

    Belə başa düşdüm ki, cookieləri hamı oxuya bilirsə əgər onda ora vacib dataları əlavə etmək olmaz. Məsələn sayta daxil olan istifadəçinin id nömrəsini və ya epoçtunu session (və ya cookie) ilə saxlanılması bir problem yarada bilər?

    Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

      (16:31, 23/08/2016 ) #64715

      Hamı niyə e. Bir öz sahibi oxuya bilir, bir də veb saytın özü. Başqa heç kim. İstifadəçi İD-sini orada saxlamaq tam normaldır. Hətta auth_token də orda saxlanıllır adətən. Yəni istifadəçin saytda login olduğunu təsdiq edən şifrəli kod. Hansı ki başqasının əlinə keçsə başqası hesabı ələ keçirmiş kimi bir şey olur. Yəni cookie-yə normalda heç kimin müdaxilə imkanı yoxdur, ona görə də qorxulu deyil orda normal data saxlamaq. Təbii ki nə gəldi basıb doldurmaq olmaz ora, bir iki İD, token filan bəs edir

      Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

(11:27, 25/08/2016 ) #64748

Yəni qaqa demək istəyirsənki “biz kompumuzda hansısa ssl olmayan sayta daxil oluruq, parolumuz cookieyə yazılır. Və nə vaxtsa xəbərimiz olmadan kimsə kompumuzda hansısa proqramla o parolu çəkə bilər. Hər halda cookire browserə yazılır”

Bunu deyirsən düzdü? Ssl sertifikatı ilə mümkünsüzdu. Qeyri halda isə cookieni görüntüləmək üçün həmin adamda gərək güclü bilik ola və kompun və ya telin əlinə keçə. Odaki keçirməsən mümkünsüzdü. Yəni bu haqda fikir flan eləmə.

Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

    (19:47, 25/08/2016 ) #64765

    Hə tam üstünə basdın 🙂

    Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

(15:46, 25/08/2016 ) #64754

Deməli belə, Cookie ayrı-ayrı adlar altinda olur, yəni hər name-nin öz datası olur. Yəni bu üzdən görünə bilən məlumatlardı. Amma Session şifrələnmiş formada olur brauzerdə. Bunları müxtəlif yollarla oğurlamaq olar, xaker gözüylə baxsaq, XSS ilə javascript kodu verib istifadəçilərin brauzerindən Cookie məlumatları götürmək olar, əgər saytda XSS açığı varsa. Bundan başqa MİTM hücumu və sniffing yolları ilə bu cookieləri oğurlamaq mümkün olduğuna görə mən Session-u məsləhət görürəm, çünki Sessionu oğurlasa o Session-u deşifrə edə bilməz, amma Cookie-nin deşifrə olunmasına ehtiyac yoxdu. İstifadəçi parolunu md5 və ya digər şifrələmə yollarıyla Cookie-yə yazsan belə Sessiona nisbətən daha “sensitiv” (riskli) olduğunu düşünürəm. Təbii ki, mən sənin Cookieyə emaili, idi, parolu və s. ayrıca verməyini nəzərdə tutduğunu başa düşdüm. Əgər elədisə dediyim kimi Session daha məsləhətlidi. Ya da tam başqa bir yol, Cookieyə yaz, amma bazada həmin istifadəçinin login olduğu barədə bir “key” yarat və o “key”-i Cookie-yə yaz logout olana qədər istifadəçi təhlükəsiz formada cookie istifadəsinə yol vermiş olacaq.

Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

(22:01, 25/08/2016 ) #64770

Qaqa elə ən yaxşısı md5 ilə əsas olan parolu şifrələ fso. Cookie ilə onsuzda əsas parol yadda qalır fso. Yəni saytdakı mesajlar, ad, email filan cookiedə yazılmırki. Elədə narahatçılıq verən şey deyil hər şeyi yolunda etsən.

Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

    (13:36, 26/08/2016 ) #64785

    Sonra oğurlanan Cookie-dəki md5-i decrypt edib parolu götürmək olsun . 🙂 Bu təhlükəli yoldu md5-lə birbaşa Cookie-yə yazmaq.

    Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

(01:44, 10/06/2018 ) #71975

mən oxuduğum kitabda md5 və sha1 şifrəni açmaq olur yazilmışdı. Səhv məlumatdı?

Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

    (10:20, 10/06/2018 ) #71976

    Əlbəttə səhvdir. md5-i açmaq deyəndə tərs yoxlama nəzərdə tutulur. Yəni internetdə milyardlarla md5 cütləri var, sadəcə generasiya edilərək yığılır ora. Oradan tapmaq olur tapanda. Yəni siz 12345 qoysanız şifrəni, kimsə onun md5-ni görsə, google-da axtaracaq md5-i və rahatlıqla sizin şifrəni qıracaq. Çünki belə sadə şifrələrin md5-i internetdə var. Amma məsələn DSJfd_$433+4332_ bu şifrənin md5-ni internetdə axtarsanız, heç yerdə tapılmayacaq. Ona görə də şifrə istifadə edərkən sadə, hamıya məlum ola biləcək söz və rəqəmlərdən istifadə etmək olmaz.
    p.s. cavab hissəsinə sual yazmaq olmaz. lütfən sualınızı ayrıca sual kimi yerləşdirin sual olanda.

    Cavablamaq üçün sağ sütundan hesaba daxil olmaq lazımdır

Bu suala aid öz sualım var:
Sual verin
Bu suala cavab vermək istəyirəm:
Cavab verin

Cavab verin


Cavab yazmaq üçün lütfən sağ sütundan və ya buradan hesaba daxil olun.

Üzvlər üçün giriş

Qeydiyyat

Elan qutusu

Son cavablar və şərhlər

MiMov cavab verdi - Özəl ip tv qurmaq (3 gün əvvəl)

MiMov cavab verdi - iptv onlayn paket almaq (3 gün əvvəl)

E. Hacı cavab verdi - 300$ Gömrük Limitini keçdim (10 gün əvvəl)

Software Developer cavab verdi - Aliexpress gömrük rüsumu nəyə görə hesablanır? (12 gün əvvəl)

AliyevYT cavab verdi - Honeygain, passiv gelir (12 gün əvvəl)

Sıradan biri cavab verdi - IMEI qeydiyyatı (14 gün əvvəl)

Fariz Huseynli cavab verdi - cerimenin öyrənilməsi (17 gün əvvəl)

Software Developer cavab verdi - cerimenin öyrənilməsi (19 gün əvvəl)

Software Developer cavab verdi - Kapital bank rekvizit payoneer (19 gün əvvəl)

Software Developer cavab verdi - Hər hansı kompyuter proqramının (EXE faylı) etibarlı olub olmaması yəni qanuni və ya saxta olduğunu necə bilmək olar ? (19 gün əvvəl)

txmn cavab verdi - Hərbi biletsiz, möhlətsiz iş (21 gün əvvəl)

Galaxy cavab verdi - X-də (Twitter) premium abunəliklə bağlı çətinlik (22 gün əvvəl)

Rsad Ncfli cavab verdi - Payonner 2024 ilə bağlı sual (27 gün əvvəl)

Software Developer cavab verdi - Payonner 2024 ilə bağlı sual (27 gün əvvəl)

Rsad Ncfli cavab verdi - Payonner 2024 ilə bağlı sual (27 gün əvvəl)

Software Developer - 615 xal

E. Hacı - 607 xal

Onar Alili - 526 xal

Dilsuz - 448 xal

Cabbarov Sübhan - 434 xal

Maqa - 346 xal

Ruslan Butdayev - 328 xal

Namiq Bəndəli - 297 xal

U.Tarlan - 244 xal

Meherremoff - 234 xal

Sistemə daxil olmuş 23229 sualdan 92%-dən çoxu cavablandırılmışdır.

Proyekt haqqında

E-Haci.net istehsalı. © 2010-2024