Session או Cookies

[mikybz]

Session או Cookies

שלום לכולם! בהנחה שאני עובד רק ב asp.net ויש לי שרת חזק, האם יש יתרון בלשמור את המידע של המשתמשים ב - cookies? אנא התייחסו גם להיבט אבטחת המידע הנשמר... האם יש בעיה לשמור מידע שהוא hashed ב- session? תודה, מיכאל

 

[adam222]

.................

ובכן, אין יתרון בלשמור בעוגיות, ואף חמור מכך, יש משתמשים שלא מאפשרים עוגיות. אין שום בעיה לשמור הכל ב-Session שהרי הוא אובייקט

 

[מוטימאירי]

הבעיה היא

ש - session פוקע אחרי זמן מסוים (20 דק' by default) ו - cookie פוקעת רק אחרי סגירת הדפדפן (by default). אם מגדילים את ה - timeout מעמיסים על הזיכרון של השרת. לדוגמה: בניתי מערכת ניהול שמסתמכת על משתנה session כדי לוודא שהמתשמש הוא אדמיניסטרטור. אמרו לי שכשעובדים הרבה זמן המערכת זורקת את המשתמש למסך LOGIN כל הזמן. אז עברתי ל - cookie.

 

[adam222]

במערכת ניהול הטיים-אאוט

היא לטובתך ולא ההפך! תחשוב שהמשתמש לא השאיר את מערכת הניהול (בטעות או שלא) פתוחה, עובר מישהו מנסה לעשות משהו ועכשיו מכיון שהאבטחה היא בעוגיה והדפדפן פתוח, הוא ניגש ועושה מה בז*ן שלו... לעומת זאת, אם יש איזשהו מעגל אבטחה נוסף והוא Time-Out זה משפר מאוד את האבטחה, לעומת ההצקה של 20 דקות ועף, תמיד ניתן להגדיל נניח לשעה, אם כל מה שאתה שומר זה האם הוא מנהל או לא, אזי גם 10 שעות עם 100 משתמשים כאלה, על שרת נחות, לא יהוו כל מעמסה!