আমি সিজিআই এবং পাইথন ব্যবহার করে একটি ছোট পাশের প্রকল্পে কাজ করছি (স্কেলাবিলিটি কোনও সমস্যা নয় এবং এটি একটি খুব সাধারণ সিস্টেম হওয়া দরকার))
আমি কুকি ব্যবহার করে প্রমাণীকরণ বাস্তবায়ন করার কথা ভাবছিলাম, এবং ভাবছিলাম যে কোনও প্রতিষ্ঠিত সেরা অনুশীলন আছে কিনা।
যখন ব্যবহারকারী সাফল্যের সাথে প্রমাণীকরণ করে, আমি লগ-ইন করা আছে তা নির্ধারণ করতে কুকিজ ব্যবহার করতে চাই। সর্বোত্তম অনুশীলন অনুসারে, এই জাতীয় কুকিতে কী সংরক্ষণ করা উচিত?
উত্তর:
সেরা ক্ষেত্রে: আপনার প্রয়োজন মতো অন্যান্য সমস্ত তথ্যের সাথে সম্পর্কিত একটি একক আইডি, যা ঘুরে দেখা যায় একটি ডাটাবেসে সংরক্ষণ করা হয়।
কিছু সময় আছে যখন সেখানে কিছু অন্যান্য তথ্য রাখা বুদ্ধিমান হয় তবে এগুলি বিরল। আপনাকে সর্বদা নিজেকে জিজ্ঞাসা করতে হবে কেন, কমপক্ষে পাঁচ বার ।
এসএসএল আপনার ব্যবহারকারীদের সেশন হাইজ্যাকিং থেকে সুরক্ষা দেবে তবে তারপরেও কখনই কোনও কুকিতে এনক্রিপ্ট করা সংবেদনশীল তথ্য সংরক্ষণ করবে না। এটি মূলত হার্ডড্রাইভের সরল পাঠ্যে সংরক্ষণ করা হয়।
শেষ অবধি, এবং সবচেয়ে গুরুত্বপূর্ণ, আপনার ব্যবহারকারীকে এক্সএসএস এবং সিএসআরএফ আক্রমণ থেকে রক্ষা করুন ।
আপনি যেখানে জাভাস্ক্রিপ্টটি অন্তর্ভুক্ত করেছেন সেখান থেকে এক্সএসএস সুরক্ষা সচেতন হওয়ার মতো সাধারণ, কারণ অন্য কোনও সার্ভারে জাভাস্ক্রিপ্টটি আপনার অজান্তেই পরিবর্তন করা যেতে পারে এবং এই জাভাস্ক্রিপ্টটিতে কুকির ডেটা অ্যাক্সেস রয়েছে। সুতরাং আপনি যদি আপনার জিক্যুরি স্ক্রিপ্টটি পরিবেশন করার জন্য এভিল কর্পের কন্টেন্ট-বিতরণ নেটওয়ার্ক ব্যবহার করছেন তবে তারা হঠাৎ আপনার ব্যবহারকারীদের কুকিজ প্রেরণে কোড যুক্ত করতে পারেন। আপনি জানেন না; আপনার ব্যবহারকারীরা জানেন না।
হয় স্ক্রিপ্টগুলি ডাউনলোড করুন এবং সেগুলি আপনার নিজের সার্ভার থেকে পরিবেশন করুন বা গুগল বা ইয়াহু এর মতো খুব ভাল-বিশ্বাসযোগ্য সিডিএন ব্যবহার করুন।
সিএসআরএফ সুরক্ষা সাধারণত কোনও ফর্মের কোনও লুকানো ক্ষেত্রে একটি র্যান্ডম মান রেখে করা হয়। মানটি সেশনে রাখা হয় যাতে ফর্মটি পুনরায় জমা দেওয়ার পরে আপনি যাচাই করতে পারেন এটি একই কম্পিউটার থেকে এসেছে।
বেশিরভাগ ওয়েব ফ্রেমওয়ার্কগুলিতে সেই টোকেন অন্তর্ভুক্ত করার জন্য এখন খুব সাধারণ কৌশল রয়েছে।