কোনও ওয়েবসাইটের জন্য "আমাকে মনে রাখুন" প্রয়োগ করার সর্বোত্তম উপায় কী? [বন্ধ]

আমি চাই আমার ওয়েবসাইটটিতে একটি চেকবক্স রয়েছে যা ব্যবহারকারীরা ক্লিক করতে পারে যাতে প্রতিবার আমার ওয়েবসাইট দেখার সময় তাদের লগইন করতে না হয়। আমি জানি এটি বাস্তবায়নের জন্য তাদের কম্পিউটারে আমার একটি কুকি রাখা দরকার, তবে সেই কুকিতে কী থাকা উচিত?

এছাড়াও, এই কুকিকে কোনও সুরক্ষিত দুর্বলতা উপস্থাপন থেকে বিরত রাখতে সচেতন হওয়ার মতো সাধারণ ভুল রয়েছে, যা 'আমাকে মনে রাখুন' কার্যকারিতা দেওয়ার পরেও এড়ানো যেতে পারে?

উন্নত স্থায়ী লগইন কুকি সেরা অনুশীলন

আপনি এখানে সেরা অনুশীলন (2006) বা এখানে বর্ণিত একটি আপডেট কৌশল (2015) হিসাবে বর্ণিত এই কৌশলটি ব্যবহার করতে পারেন :

1. যখন ব্যবহারকারী সাফল্যের সাথে আমাকে স্মরণ করে পরীক্ষা করে সফলভাবে লগ ইন করে , তখন একটি সাধারণ লগইন কুকি ছাড়াও লগইন কুকি দেওয়া হয় ।
2. লগইন কুকিতে একটি সিরিজ শনাক্তকারী এবং একটি টোকেন রয়েছে । সিরিজ এবং টোকেনটি উপযুক্ত বৃহত স্থান থেকে অবর্ণনীয় এলোমেলো সংখ্যা । উভয়ই একটি ডাটাবেস সারণীতে একসাথে সংরক্ষণ করা হয়, টোকেনটি হ্যাশ করা হয়েছে (sha256 ভাল আছে)।
3. যখন কোনও লগ-ইন না করা ব্যবহারকারী সাইটটি পরিদর্শন করে এবং একটি লগইন কুকি উপস্থাপন করে, সিরিজ শনাক্তকারীকে ডাটাবেসে সন্ধান করা হয় ।
   1. যদি সিরিজ শনাক্তকারী উপস্থিত থাকে এবং টোকেনের হ্যাশ সেই সিরিজ শনাক্তকারীর জন্য হ্যাশের সাথে মিলে যায় তবে ব্যবহারকারীকে প্রমাণীকরণ হিসাবে বিবেচনা করা হবে । একটি নতুন টোকেন তৈরি করা হয়েছে, টোকেনের জন্য একটি নতুন হ্যাশ পুরানো রেকর্ডের উপরে সংরক্ষণ করা হবে এবং ব্যবহারকারীর জন্য একটি নতুন লগইন কুকি জারি করা হয়েছে ( সিরিজ সনাক্তকারীটিকে পুনরায় ব্যবহার করা ঠিক আছে )।
   2. যদি সিরিজটি উপস্থিত থাকে তবে টোকেনটি মেলে না, একটি চুরি অনুমান করা হয়। ব্যবহারকারী একটি দৃ়ভাবে শব্দযুক্ত সতর্কতা পান এবং ব্যবহারকারীর মনে রাখা সমস্ত সেশন মুছে ফেলা হয়।
   3. ব্যবহারকারীর নাম এবং সিরিজ উপস্থিত না থাকলে লগইন কুকি উপেক্ষা করা হবে ।

এই পদ্ধতির গভীরতা প্রতিরক্ষা প্রদান করে। যদি কেউ ডাটাবেস টেবিল ফাঁস করতে পরিচালিত হয়, তবে এটি আক্রমণকারীকে ব্যবহারকারীদের ছদ্মবেশ দেওয়ার জন্য একটি মুক্ত দরজা দেয় না।

আমি একটি ব্যবহারকারীর আইডি এবং একটি টোকেন সঞ্চয় করব। ব্যবহারকারী যখন সাইটে ফিরে আসেন, তখন ডাটাবেস এন্ট্রির মতো অবিচ্ছিন্ন কিছু কিছুর বিরুদ্ধে এই দুটি টুকরো তথ্যের তুলনা করুন।

সুরক্ষা হিসাবে, কেবল সেখানে এমন কোনও কিছু রাখবেন না যা কাউকে অতিরিক্ত সুবিধা অর্জনের জন্য কুকিকে সংশোধন করার অনুমতি দেবে। উদাহরণস্বরূপ, তাদের ব্যবহারকারী গোষ্ঠী বা তাদের পাসওয়ার্ড সংরক্ষণ করবেন না। আপনার সুরক্ষা বিঘ্নিত করতে পারে এমন কোনও কিছু যা কুকিতে সংরক্ষণ করা উচিত নয়।

তাদের ইউজারআইডি এবং একটি রেমেমি টোকেন সংরক্ষণ করুন। যখন তারা লগইন করে আমাকে স্মরণ করে রাখে আমাকে একটি নতুন রিমেমমেটোকেন জেনারেট করে (যা চিহ্নিত করা অন্য কোনও মেশিনই বাতিল করে দেয় আমাকে মনে রাখে)।

যখন তারা ফিরে আসবে তখন আমাকে টোকন মনে রাখবেন এবং ব্যবহারকারী আইড মিল আছে তা নিশ্চিত করুন।

অবিরাম সেশনগুলি নিজেই তদন্ত করে আমি দেখতে পেয়েছি যে এটি সুরক্ষা ঝুঁকির পক্ষে উপযুক্ত নয়। আপনার যদি একেবারে করতে হয় তবে এটি ব্যবহার করুন, তবে আপনাকে এই জাতীয় অধিবেশনটিকে কেবল দুর্বলভাবে প্রমাণিত হওয়া এবং আক্রমণকারীটির পক্ষে মূল্যবান হতে পারে এমন কোনও কিছুর জন্য একটি নতুন লগইনকে বাধ্য করা উচিত consider

অবশ্যই হওয়ার কারণটি হ'ল আপনার অবিরাম সেশনে থাকা আপনার কুকিগুলি এত সহজে চুরি হয়ে যায়।

আপনার কুকিগুলি চুরি করার 4 টি উপায় ( তার উত্তরটির ভিত্তিতে পৃষ্ঠায় জেনস রোল্যান্ডের একটি মন্তব্য থেকে @splattne):

1. এটি কোনও অনিরাপদ লাইনে বাধা দিয়ে (প্যাকেট স্নিফিং / সেশন হাইজ্যাকিং)
2. সরাসরি ব্যবহারকারীর ব্রাউজার অ্যাক্সেসের মাধ্যমে (ম্যালওয়্যার বা বাক্সে শারীরিক অ্যাক্সেসের মাধ্যমে)
3. সার্ভার ডাটাবেস থেকে এটি পড়ে (সম্ভবত এসকিউএল ইঞ্জেকশন, তবে কিছু হতে পারে)
4. একটি এক্সএসএস হ্যাক দ্বারা (বা অনুরূপ ক্লায়েন্ট-পার্শ্ব শোষণ)