Quelle information est OK pour stocker dans les cookies?
Lorsque vous pensez à la sécurité et à l'expérience de l'utilisateur, quelles sont les informations id OK, acceptable, ou encore un bonne idée stocker dans un cookie?
EDIT:
Avec la compréhension que les informations sensibles, comme les noms d'utilisateur, mots de passe, le SSN, numéros de carte de crédit ne leur appartient pas, ce qui ne?
source d'informationauteur cdeszaq
Vous devez vous connecter pour publier un commentaire.
Certainement pas les mots de passe! Ou quelque chose de sensible... rappelez-vous que les cookies sont stockés sur les ordinateurs de votre point de vue (comme un développeur de site web), ils sont essentiellement dans la nature, potentiellement accessible à tous.
Une pratique courante consiste à enregistrer un ID de session dans un cookie, et de stocker toutes les autres informations pertinentes dans une base de données (ou le fichier, ou quoi que ce soit) sur le serveur, indexée par l'ID de session.
Il est beaucoup plus facile de répondre à ce qui est pas acceptable de les stocker dans un cookie. Tout ce qui doit rester sécurisé ne doit pas être stocké. Qui comprend les mots de passe, numéros de carte de crédit, numéros de sécurité sociale, etc.
Je pense que c'est bon pour stocker un nom de l'utilisateur, étant donné que l'information n'est pas vraiment sensible. Les préférences de l'utilisateur paramètres de votre site devrait être correct.
Rappelez-vous, les cookies sont de simples fichiers texte que quelqu'un (ou une application) peut s'ouvrir et lire ou écrirede sorte que vous ne devriez pas confiance dans les informations que vous recevez un cookie, soit. Désinfecter, comme avec toute autre saisie de l'utilisateur.
Une suggestion est que vous pas stocker toutes les clés à votre base de données dans les cookies. c'est à dire des adresses de courriel, colonne ID etc. Si oui, vous devez chiffrer les données.
Bien d'autres que sensible et liés à la sécurité des données il n'y a vraiment pas de limite à ce que vous ne pouvez pas et peut stocker mais rappelez-vous que si les données ne sont pas conservées sur le serveur, il pourrait être tout à fait perdu et il faut faire l'hypothèse que si l'utilisateur supprime les cookies, il ne sera pas d'inconvénients en lui trop de restaurer ses paramètres de configuration. Il n'y a pas d'autres lignes directrices que d'utiliser le bon sens ici.
Il y a toutefois des limites à ce que des cookies. Vous ne devez pas dépasser 19 cookies par domaine et aucun cookie ne doit être plus grand que 4 KO (4096 octets) par IE limites:
Ne rien stocker dans un Cookie qui permettra à votre site d'être piraté ou accessibles sans passer par les canaux appropriés. Habituellement, juste une ID de session d'utilisateur ou ID est stocké dans un cookie, et souvent sous une forme destinée à être opaque à personne, mais le cookie à la consommation.
Je voudrais éviter de tout ranger, qui, s'ils sont modifiés, pourraient compromettre la fonctionnalité du site.
Ainsi, le stockage de quelque chose comme un utilisateur, l'id du panier des éléments de prix, mot de passe, les rôles d'utilisateur, etc. sont problématiques. Je garde ce genre de chose dans la session de l'utilisateur des données sur le serveur.
Stocker le nom d'un utilisateur ou d'information de profil (à des fins d'affichage uniquement), la personnalisation des préférences (couleurs, texte, peu importe) sont beaux.
Il n'y a rien de mal dans la sauvegarde des données sensibles sur un cookie, tant que cette information est cryptée (les données ne sont pas clairement du texte) et le cookie est un cookie de sécurité (https). En fait c'est bien pire d'avoir toutes les données sensibles dans un serveur de base de données qui pourrait être piraté et puis vous êtes face à une potentiellement beaucoup plus gros problème de sécurité.