יש לי אתר שבו יש טופס כניסה למערכת ואחרי שהמשתמש מזדהה אני שותל לו עוגיה (cookie) כדי שהוא לא יצטרך להזדהות שוב פעם בפעם הבאה שהוא יכנס לאתר.

עד כאן הכל טוב ויפה... אבל יש לי שאלה: אם לדוגמא יבוא מישהו ויעתיק את הקובץ של העוגיה למחשב אחר האם העוגייה תמשיך לעבוד כרגיל?

האם למעשה מדובר בפריצה אפשרית לאתר שלי?

אני אודה לכל מי שיוכל לתת לי תשובה בנושא

האמת שאף פעם לא ניסיתי לעשות דבר כזה...

אבל למה אתה חושב שזה פירצה לאתר שלך?

כי אם מישהו יתחבר לאתר שלי ואני אשתול לו עוגיה אצלו במחשב, ואחר כך מישהו "יגנוב" לו את העוגיה הזאת וישים אצלו במחשב אז הוא יקבל גישה מלאה לאתר.

או שברגע שמעתיקים עוגיה למחשב אחר אז היא לא עובדת!?

ה cookie יעבוד גם ממחשב אחר וגם אחרי פירמוט אם שמרו אותו (זו המטרה לא ?)

אך זה לא קשור לפרצה ,יש IP לכל אחד ואתה אמור למצוא אותו בלוגים לפי זמן מדוייק שאתה מחפש.

מה זאת אומרת גישה מלאה ?

כשהמשתמש מזדהה מול האתר שלי אז אני שותל לו עוגיה עם נתון שאחר כך אני אוכל לבדוק מול המסד נתונים, ואז אני אידע שהוא אכן מי שהוא מתיימר להיות ואכניס אותו לאתר.

אבל אם מישהו יקח את העוגיה הזאת וישים אותה במחשב של החבר שלו אז למעשה החבר שלו יקבל גישה לאתר. החבר יוכל להיכנס לאזור שמור באתר וידלג על כל הבדיקה של שם וסיסמא.

איך אני יוצר מצב שלא יהיה ניתן להעביר עוגיות ככה בין מחשב למחשב?

כמובן שחשבתי על האופציה של רישום IP בעוגייה אבל אז אם למשתמש השתנה הכתובת IP אז למרות שהוא כבר הזדהה מול האתר שלי הוא יצטרך להזדהות שוב.

ומה עם כל הארגונים האלה שיש להם עשורת מחשבים אבל תכלס כולם מקבלים את אותה כתובת IP כי הם נמצאים מאחורי שרת פרוקסי של החברה, זה יוצר מצב שלעשרות משתמשים באתר יכול להיות למעשה אותה כתובת IP.

האם יש דרך ליצור עוגיה מאובטחת שאני לא אצטרך לחשוש שיהיה ניתן להיכנס לאתר שלי ללא הזדהות!?

אין סוף לזה.

אם מישהו אחר בא ועובד לו על המחשב ? הוא יכל להיכנס לאתר שלך.

אם הוא שם סיסמא פשוטה ? אם ואם ואם...

הכי פשוט זה לא להוסיף עוגיה.

לא ברור למה אתה מוטרד מזה,

זה בדיוק אותו מצב שיוצר אם יגנבו לו את הסיסמא,

זו בעיה שלו.

אם זה כל כך חשוב לך אל תשים cookie או שתגביל אותו בזמן קצוב .