Nema razlike izmedju kukija i sesije u sigurnonosnom smislu.
ID sesije se pamti u kukiju ili ode preko GET-a. Ako imas ID sesije onda ti je isto kao i da si nekome ukrao kuki jer sajt nece praviti razliku jer se prilazi preko id-a.
Zasto se koriste kukiji? Za podatke koji ce ti biti potrebni i kada korisnik recimo sutra dodje na sajt a ne mora biti logovan.
Zasto da koristis sesiju. Za sve podatke koje bi privremeno da pamtis ili dok je korisnik na sajtu
Zasto nije dobro koristiti kukije ako moze da se koristi sesije? Zato sto se kuki salje u header-u sa svakim pozivom stranice, slike, css, js itd.. Sto usporava sajt i povecava protok.
Jednostano zasto da nesto pamtis na korisnikovom racunaru ako bi mogao da pamtis kod tebe na serveru i time poboljsas performanse...
To sto pamtis md5 sifre i takve stvari to nema veze. Uzmem ja taj kuki koji ima id i korisnicko ime i md5 sifre, stavim kod mene na racunar taj kuki i sta ce me spreciti da se ulogujem? Nista.
Necu znati koja je sifra ali ima md5 sifre sto je dovoljno da se ulogujem.
To sto mutis tamo-vamo sa kukijem, krpitovanjem, ovi-oni podaci itd ti nista ne pomaze jer jednostavno ako se uzme kuki nije vazno kako sta si unutra pisao jer ces ti to da prepoznas na serveru
i procitas i shvatis kao regularne podatke.
Mozes da uzmes header-e kao sto su browser, ip i jos neke parametre i od toga napravis md5 i budes sigurniji da je to taj korisnik.
Ali opet ja mogu da ti posaljem iste header-e sa mog racunara iako nemam istu ip i browser ali to je donekle sigurnija varijanta od puke - jednostavne kradje kukija odnosno sesije.
Ovo samo zakomplikuje stvari ali opet nije perfektno resenje. Bolje jeste ali ne dovoljno za neku dobru sigurnost. Moras da obrati i tu paznju jer neki provajderi
menjaju header-e, ip adrese kod svakog tvog zahteva za konekciju. Recimo slike skides preko jednog servera, css preko dugog, html jedno preko treceg a drugi put preko nekog petog a ti dobijas normalno
ono sto se zahtevao ali na php serveru kao da dolaze zatevi od tebe jednog ali sa vise racunara (ne znam kako drugacije da objasnim). Ovo je retkost da tako provajderi rade ali neki najveci provajderi
u Americi bas tako rade. Tako da ti opet ova bolja varijanta ispada mnogo losije jer nije primenjiva.
Jedina prava sigurnost koja jos uvek ne moze da se provali (mislim, moze ali nije realno da ce neko da ti provaljuje) je da koristis https protokol.
A filozofije kako i sta da smestis podatke u kuki a da budu sigurno je gubljenje vremena. Za logovanje koristi sesiju a pamti koje hoces podatke i kako hoces.
Da napomenem da i sesiji moze da se pridje ako se na serveru nalazi vise sajtova i server nije dobro podesen.
[Ovu poruku je menjao VladaSu dana 14.06.2003. u 11:22 GMT+1]