सत्र, कुकीज़, कहानियों से काफी सुरक्षित हैं। लेकिन एक सत्र चोरी करना अभी भी संभव है और इस प्रकार हैकर के पास उस सत्र में जो कुछ भी है, उसकी कुल पहुंच होगी। इससे बचने के कुछ तरीके आईपी जांच (जो बहुत अच्छी तरह से काम करता है, लेकिन बहुत कम है और इस प्रकार अपने आप पर भरोसेमंद नहीं है), और एक nonce का उपयोग कर रहे हैं। आम तौर पर एक nonce के साथ, आपके पास एक प्रति पृष्ठ "टोकन" होता है ताकि प्रत्येक पृष्ठ जांचता है कि अंतिम पृष्ठ का नॉन जो संग्रहीत करता है उससे मेल खाता है।
या तो सुरक्षा जांच में, उपयोगिता का नुकसान होता है। यदि आप आईपी जांच करते हैं और उपयोगकर्ता इंट्रानेट फ़ायरवॉल (या किसी अन्य स्थिति के कारण होता है) के पीछे है जो उस उपयोगकर्ता के लिए एक स्थिर आईपी नहीं रखता है, तो उन्हें हर बार अपना आईपी खोने के बाद फिर से प्रमाणीकरण करना होगा। एक nonce के साथ, आप हमेशा मजेदार मिलता है "वापस क्लिक करने से इस पृष्ठ को तोड़ने का कारण बन जाएगा" स्थिति।
लेकिन एक कुकी के साथ, एक हैकर काफी सरल एक्सएसएस तकनीकों का उपयोग कर सत्र चुरा सकता है। यदि आप उपयोगकर्ता के सत्र आईडी को कुकी के रूप में संग्रहीत करते हैं, तो वे इसके लिए भी कमजोर होते हैं। तो भले ही सत्र केवल किसी ऐसे व्यक्ति के लिए घुसपैठ कर रहा है जो सर्वर-स्तरीय हैक कर सकता है (जिसके लिए अधिक परिष्कृत तरीकों की आवश्यकता होती है और आमतौर पर कुछ विशेषाधिकार, यदि आपका सर्वर सुरक्षित है), तो आपको अभी भी कुछ अतिरिक्त स्तर की सत्यापन की आवश्यकता होगी प्रत्येक स्क्रिप्ट अनुरोध पर। आपको कुकीज और एजेक्स का एक साथ उपयोग नहीं करना चाहिए, क्योंकि यह कुकी पूरी तरह से शहर जाने के लिए आसान हो जाती है अगर वह कुकी चोरी हो जाती है, क्योंकि आपके AJAX अनुरोधों को प्रत्येक अनुरोध पर सुरक्षा जांच नहीं मिल सकती है। उदाहरण के लिए, यदि पृष्ठ एक nonce का उपयोग करता है, लेकिन पृष्ठ कभी पुनः लोड नहीं किया जाता है, तो स्क्रिप्ट केवल उस मिलान की जांच कर सकती है। और यदि कुकी प्रमाणीकरण विधि धारण कर रही है, तो अब मैं चोरी हुई कुकी और AJAX छेद का उपयोग करके अपनी बुराई कर शहर में जा सकता हूं।
ध्यान दिया जाना चाहिए कि PHP सत्र आईडी को कुकी के रूप में संग्रहीत करता है। –
+1 क्या आप एक गैरसे के बारे में अधिक समझा सकते हैं? संभव लिंक? – Petrogad
nonce पर विकी आलेख बहुत हल्का है, लेकिन सभ्य लिंक हैं: http://en.wikipedia.org/wiki/Cryptographic_nonce मूल विचार, जैसा कि मैं इसे समझता हूं, एक टोकन की तरह है, लेकिन इसका उपयोग केवल एक बार किया जा सकता है (संख्या एक बार उपयोग की जाती है)। प्रत्येक पृष्ठ अनुरोध अंतिम nonce की जांच करता है और एक नया बनाता है। इसलिए यदि मैं आपके पासवर्ड पर एक बलपूर्वक बल हमला करने की कोशिश करता हूं, तो मुझे एक शॉट मिलता है, क्योंकि नॉन 2 राउंड पर मेल नहीं खाएगा। अगर मैं सत्र और उस पृष्ठ के नॉन को चुरा लेता हूं, तो मैं अनुरोध कर सकता हूं और गैर-नवीनीकरण कर सकता हूं आप एक अनुरोध करते हैं जो गैर-मैच से बाहर निकलता है। क्योंकि यह मेरा अनुरोध और मेरा नॉन देखेगा, अपडेट करें ... – Anthony