اطمينان به Session

[microsoftsat]

سلام.

چقدر از نظر امنيت و ثبات ميشه به Session ها اطمينان داشت؟!

آيا با خيال راحت ميشه اطلاعات مهمي در آنها ذخيره كرد؟ احتياط چقدر و در چه مواقعي لازم است؟!

مثلا براي كنترل كاربراني كه مي خواهند از طريق چندين بار تلاش(ارسال كلمات عبور مختلف) ، بطور غير مجاز به كشف كلمه عبور يك سايت بپردازند ، چكار بايد كرد؟
آيا session راه حل خوبي است يا Database ؟ يا هيچكدام؟!

توضيح و بحث اصولي، اين مطلب رو خيلي جالب ميكنه.

 

[Majid]

به نظر من کمی سوالت گنگ هستش.. اول یک سوال کردی بعد آخر خرابش کردی
ببین بالاخره برای نگه داری اطلاعات بهترین و مطمئن ترین محل دیتا بیس هستش.

البته اگر میخوای بصورت موقتی نگه داری کنی خب بهترین راه همون session ها هستش .

در مورد افرادی که میخوان با ارسال چند بار کلمه عبور ، کلمه عبور یک کاربر دیگه رو در بیارن باید بگم که فکر نمیکنم به session ارتباطی داشته باشه شما باید توی برنامه نویسی به نوعی عمل کنی که این کار غیر ممکن باشه مثلا یک کد امنیتی بذاری که طرف مجبور بشه کد امنیتی وارد بکنه همین باعث میشه که سرعت عمل طرف بیاد پایین یا نتونه یک برنامه بنویسه که بصورت اتوماتیک این کار رو بکنه . یا مثلا وقتی کلمه عبور برای چند بار اشتباه وارد شد اون اکانت رو برای مدت چند ساعت غیر فعال کنی و یا یک همچین تدابیری...
به نظر من مستقیما به session ربطی نداره.

در کل برای ذخیره سازی اطلاعات بصورت موقت در حافظه cookie ها و sessionها وجود دارند که از بین این دو session خیلی مطمئن تر هستش چون یک سری اطلاعات رو طرف سرور نگه میداره


موفق باشی

مجید

 

[pirooz]

به نظر من شما براي چك كردن تعداد دفعات ورود كلمه رمز اشتباه هم مي‏تونيد از session استفاده كنيد. به اين صورت كه يك متغير در session ايجاد كنيد و هر بار كه كاربر كلمه رمز اشتباه رو وارد كنه به اون متغير، عدد 1 رو اضافه كنيد هر موقع كه متغيير به عدد دلخواه كه همون تعداد دفعات مجاز براي وارد كردن رمز اشتباه هست رسيد، عمليات ديگه‏اي رو انجام بده مثلاً به صفحه‏اي بره كه در اون به كار بر اخطار داده بشه و همون‏طور كه دوستمون گفت، مثلاً براي مدت 20 دقيقه اكانت كاربر غيرفعال بشه!‏ شما بايد در ابتداي صفحه اصلي چك كنيد كه آيا متغير موجود در session به عدد مورد نظر شما رسيده يا نه اگر نرسيده كه فرم دريافت نام كاربر و رمز عبور رو نمايش بده و اگر رسيده كه به صفحه اخطار بره و اكانت كاربر رو غير فعال كنه!‏

 

[microsoftsat]

مجيد جان ، مرسي از پاسختون.
pirooz جان ، از شما هم ممنونم.

يكمي منظور من بيشتر اين بود نفوذ و خرابكاري از طريق Session بيشتر انجام شده يا از طريق Database؟!!

البته اگر ميخواي بصورت موقتي نگه داري کني خب بهترين راه همون session ها هستش

از نظر سرعت كار و مشغوليت سرور و ... استفاده از كدام روش (session OR database) بهتره؟!

در کل براي ذخيره سازي اطلاعات بصورت موقت در حافظه cookie ها و sessionها وجود دارند که از بين اين دو session خيلي مطمئن تر هستش چون يک سري اطلاعات رو طرف سرور نگه ميداره

session چه اطلاعاتي در كامپيوتر كلاينت و چه اطلاعاتي در سرور ذخيره ميكنه؟!

متشكر و ممنون.

 

[Majid]

راستش تا اونجایی که من اطلاع دارم از نحوه کار این دو نمیشه این دوتا رو با هم مقایسه کرد. چون بانک اطلاعاتی واسه خودش یک ساختمان پیچیده و مبحث خاص خودش رو داره !
اما از نظر نفوذ مسلما خوندن اطلاعات session ها راحت تر هستش تا دیتا بیس.

در مورد سرعت و مشغولیت سرور خب session ها کمتر فشار میارن به سرور ! چون بالاخره کار با دیتا بیس توسط یک سری query انجام میشه که هر query خودش یک تفسیری داره که باعث میشه سرور اونها رو پردازش کنه

در مورد ذخیره سازی در کامپیوتر طرف این بستگی به خودتون داره. شما میتونید بگید که زمانی که session ایجاد میشه یک کوکی هم روی کامپیوتر کاربر ایجاد بشه و یک سری اطلاعات رو درون اون بریزه


مجید