Pamiętanie loginu i hasła

Question

Witam,

Mam pewne pytanie. Ostatnio na mojej witrynie postanowiłem zrobić system zapamiętywania podanych przez użytkownika loginu i hasła na dłuższy czas (po wyłączeniu przeglądarki/komputera). Po kilku próbach udało mi się to, ale za pomocą ciasteczek. I teraz moje pytanie brzmi: czy takie przechowywanie danych jest bezpieczne? W książce ("PHP i MySQL - Od nowicjusza do wojownika ninja") piszą, że nikt obcy nie może odczytywać takich danych, więc pomyślałem, że użycie cookies będzie dobrym rozwiązaniem jednak mam pewne wątpliwości.

Bardzo proszę o odpowiedź i z góry dziękuję :)

Answer 1

To właściwie zależy. Jeżeli Twoja witryna korzysta z protokołu ssl to raczej dość ciężko byłoby wykraść takie dane. W przypadku zwykłego http kradzież ciasteczek nie stanowi większego wyzwania, gdy mamy dostęp do sieci, z której korzysta dany użytkownik.

Rozumiem że w ciasteczkach nie przechowujesz haseł tylko id sesji?

Comments

No cóż, dopiero co dowiedziałem się jak utworzyć cookies, więc trzymam tam login i hasło użytkownika bez żadnego szyfrowania danych i właśnie stąd moje wątpliwości. Nie wiem jak zrobić coś takiego, żeby pamiętało login i hasło na podstawie id sesji. Mi zależy tylko na tym, żeby nikt nie miał żadnych nieprzyjemności (gdy kiedyś wpuszczę stronę na hosta) z powodu tego, że w ciasteczkach trzymam jego login i hasło.

---

Trzymanie loginów i haseł w ciasteczkach bez szyfrowania to praktycznie jawne publikowanie tych danych. Jeżeli chcesz korzystać z cookie i jednocześnie chcesz dbać o bezpieczeństwo użytkowników to zanim opublikujesz stronę wygeneruj w ciasteczkach tylko losowe sesje id danego użytkownika, a nie jawne dane, skonfiguruj sesje tak by wygasały po pewnym czasie i były na nowo losowo generowane i zaimplementuj szyfrowanie ssl. Tak skonfigurowane ciasteczka są wstanie rzeczywiście zapewnić jakieś bezpieczeństwo użytkowników na stronie. Poradniki jak coś takiego skonfigurować choćby na podstawowym poziomie myślę że bez problemu znajdziesz w Google.