Memorizzare le informazioni personali nei cookie

4

Sto provando a fare una semplice integrazione dello schermo tra due siti web.

Uno su:

domain.com

e un altro su:

subdomain.domain.com

Tutto quello che voglio fare è mostrare un messaggio "Ciao Giovanni, Ritorna all'Area Clienti" .

Sto cercando un consiglio se pensi che sia accettabile archiviare informazioni come un nome e un indirizzo e-mail in un cookie?

Ho bisogno del nome di "Hello [Name]" e dell'email per un gravatar. Potrei pre md5 il gravatar, o aggiungere l'url gravatar al cookie, ma è comunque una premessa simile.

Questa informazione sarà inutile, quindi cambiarla non sarà in grado di fare nulla di malvagio.

So che potrei semplicemente creare un cookie [logged in = true] che mostra il ritorno nell'area dell'utente. Tuttavia, sento che l'altro modo dà una migliore illustrazione di essere loggato.

    
posta Callum 02.08.2015 - 02:55
fonte

1 risposta

3

Prima di tutto, spero che per domain.com e subdomain.domain.com non intendiate usare HTTP, nel qual caso i cookie sono altamente esposti e manipolati sulla volontà di un attaccante. Spero inoltre che, nel caso in cui non utilizzi HTTPS, i servizi del tuo sito Web non siano cruciali (ad esempio, non l'e-commerce).

Come prassi di sicurezza generale, ** non memorizzare mai informazioni private nei cookie **. Se un cliente del tuo sito Web utilizza il suo indirizzo email principale per accedere, sicuramente non vorrebbe vederlo utilizzato da una terza parte (spam) grazie al tuo sito web (nel caso tu utilizzi, ad esempio, Google AdSence) . Aggiungi a questo un insieme di vulnerabilità dei famosi cookie famosi come cucina cross-site o semplicemente cookie theft . Un indirizzo email è un dato importante, nel mio caso l'ho scritto codificato sul mio profilo. Sicuramente ti consiglio di non usare la posta elettronica all'interno dei cookie.

Soluzione:

Come tutto il resto, le sessioni non sono sicure per il 100%, ma è comunque meglio generare un identificativo di sessione univoco nel cookie e archiviare tutto il resto sul server . Questo praticamente elimina le minacce comuni come avvelenamento da cookie . E per quanto riguarda i cookie, non memorizzare alcun dato nella sessione relativo alle credenziali di accesso (nel tuo caso, l'e-mail del cliente?)

    
risposta data 02.08.2015 - 08:28
fonte

Leggi altre domande sui tag