Объединение куки и сессий

Question

Этот вопрос является результатом различных вопросов, которые у меня возникли сегодня о файлах cookie.

Как вы знаете, не нужно сохранять процесс входа в систему с помощью файлов cookie.

Но как я могу установить cookie, когда я вошел в систему, и автоматически войти в систему при перезапуске браузера?

Если я перенаправляю на основе наличия куки, это опасно, так как кто-то другой может просто создать куки. Так как же с этим справиться?

Answer 1

Да, cookie-файл с автоматическим входом представляет собой уязвимость, но некоторые из них можно смягчить различными способами, например, гарантируя, что значение cookie можно использовать только один раз.

Для более подробной информации, посмотрите

• Рекомендации по использованию файлов cookie для постоянного входа в систему
• Лучшая практика для файлов cookie с постоянным логином

И посмотрите эти другие прекрасные ответы на StackOverflow

• ЧАСТЬ I: Как войти в систему
• ЧАСТЬ II: Как оставаться в системе - печально известный флажок «Запомнить меня»
• ЧАСТЬ III. Использование секретных вопросов
• ЧАСТЬ IV: Функциональность забытого пароля
• ЧАСТЬ V: Проверка надежности пароля
• ЧАСТЬ VI: многое другое - или: предотвращение попыток быстрого входа в систему
• ЧАСТЬ VII: Распределенные атаки грубой силы