Kalıcı oturumları kendim araştırırken bunun güvenlik riskine değmeyeceğini buldum. Kesinlikle yapmanız gerekiyorsa kullanın, ancak böyle bir oturumu yalnızca zayıf bir şekilde doğrulanmış olarak düşünmeli ve bir saldırgan için değerli olabilecek herhangi bir şey için yeni bir giriş yapmaya zorlamalısınız.
Nedeni, kalıcı oturumunuzu içeren çerezlerinizin çok kolay çalınmasıdır.
Çerezlerinizi çalmanın 4 yolu ( cevabını temel alan sayfadaki Jens Roland tarafından yapılan bir yorumdan@splattne
):
- Güvenli olmayan bir hat üzerinden keserek (paket koklama / oturum kaçırma)
- Kullanıcının tarayıcısına doğrudan erişerek (kötü amaçlı yazılım veya kutuya fiziksel erişim yoluyla)
- Sunucu veritabanından okuyarak (muhtemelen SQL Injection, ancak herhangi bir şey olabilir)
- Bir XSS kesmek (veya benzer bir istemci tarafı kötüye kullanımı) tarafından