通常のログイン目的での Cookie の使用について質問があります。私のphpスクリプトが、ログインするたびにユーザーのコンピューターにCookieを保存するとします。Cookieの値は、Webサイトでのユーザー名の後に「Mike」と表示されます。そのユーザーは、ブラウザーでその Cookie を操作して値を「管理者」に変更し、突然 Web サイトの管理にアクセスできるようにすることはできますか?
これが発生する可能性がある場合、そのようなセキュリティ リスクをどのように解決しますか?
--
さらに... 誰かが私のブラウザから Cookie をコピーした場合、彼は私のコンピュータ画面を見つめて Cookie と値を自分のコンピュータにコピーするか、またはそのような侵入者が JavaScript を介して私のブラウザから Cookie を盗む可能性があります。
それはどのように処理されますか?
はい、これはセキュリティ上の問題であり、クライアントから提供されるすべての情報にまで及びます。
クッキーはユーザーのマシンに保存されます。任意の方法で変更できます。実際、Cookie はオンザフライで作成し、HTTP 要求を作成するためのいくつかのユーティリティを介して送信できます。ブラウザの問題でもありません。
クライアントからのデータは決して信頼しないでください。
はい、Cookie がコンピュータに保存されている場合、ユーザーは Cookie を操作できます。セッションを使用します。
はい
Cookie を操作、編集、変更、作成、および削除できます。
サーバーで使用するハッシュキーのみを保存して、データベースで安全なものを検索する必要があります。
はい、ユーザーは Cookie を操作できます。これを処理する最善の方法は、ユーザー名を変更して管理者アクセスを取得できるような方法でユーザー資格情報を保存しないことです。
これを行う方法の詳細はかなり深いですが、代わりにユーザーのセッション ID を保存することから始めることをお勧めします。それには独自の問題がありますが、人々が物事を簡単に壊すことはできません。
はい、ユーザーは、すべての一般的なブラウザーが提供するクッキング オプションに移動するだけで、Cookie を簡単に操作できます。
Cookie はクライアント側であり、クライアントによる読み取り、書き込み、および削除が可能です。Cookie マネージャー プラグインを使用すると、Cookie の値を簡単に変更できます。