05. november 2002 - 23:18Der er
6 kommentarer og 1 løsning
Cookie som kun eksisterer i hukommelsen ?
Hej. Vi er nogle stykker som har diskuteret sikkerheden vedrørende cookies. Det har skabt 2 hold. Hold A mener at når man opretter en cookie, kan man godt have denne cookie i hukommelsen og dermed sikre at den ikke ligge på disken. Hold B mener at det ikke kan lade sig gøre. Den vil skrive den cookie til en txt eller tmp fil, hvorved sikkerheden ikke er total. Hold B mener yderligere at en cookie der kun er i hukommelsen er refereret til som en session (altså serverID gemt på klienten som cookie)
Hold A forsvarer sig med dette udpluk : --------------------- "Topic: Cookies Created by Servlet Question: Using the "javax.servlet.http.Cookie" class, I can write and retrieve cookies successfully in browser Netscape 4.5 and IE 4.0. However, when I closed the browser, and opened it and ran the servlet again, I couldn't retrieve the cookies that had been created before. I examined the "cookies.txt" under the Netscape directory and found that the cookies created by servlet had not written to the file. How can I fix this problem?
Answer: Set the maximum age of the cookie. By default, a cookie exists only in the browser's memory. Only when you use cookie.setMaxAge (secs) will the cookie write to the file to survive for secs seconds. After that, it will be deleted. Note: Setting a cookies maxAge to a negative number is how you expire them. --------------------- Jeg vil gerne have links som kan vises sandheden. "Enhver god diskussion kan ødeslægges af en der ved hvad han snakker om"
I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.
Indledningsvist vil jeg give arne_v ret i at spørgsmålet strengt taget ikke er et Java-spørgsmål. Java er kun een af flere måder hvorpå man kan arbejde med cookies, og her spørges generelt til cookies.
Nuvel, hold A vinder.
Som der står i udplukket vil cookien ikke blive skrevet på harddisken med mindre cookiens expire-attribut sættes til et positivt heltal. (Selvfølgelig kan man sige at cookien skrives på disken, hvis den del af hukommelsen, hvori den befinder sig swappes ud på disken, men det er vist udenfor diskussionen.)
Citat: "Hold B mener at det ikke kan lade sig gøre" - Selvfølgelig kan det lade sig gøre at programmere en browser som ikke skriver cookies på disken.
Hold B blander ASP's session-variable ind i diskussionen, en teknologi der benytter sig af cookies. Om disse session-variable skrives på disken eller ej, ved jeg ærligt talt ikke, men det ville i mine øjne være unødigt.
Jeg forstår hvad det er for en sikkerhed ikke er total, hvis cookien skrives på disken. Sikkerhed mod hvad?
Jeg har desværre ingen links og der findes masser der ved mere om end jeg, men indtil kan hold A godt føle sig ovenpå og håne hold B.
I om med at en cookie bliver skrevet til en disk vil det være muligt at opsnappe denne og derved hijacke en andens session. Det er en standard IE browser der snakkes om, så der skal ikke programmeres en anden browser. Hvorvidt tråden er forkert oprettet kan det da godt være. Jeg mener bare at spørgsmålet er mere java relateret, da jeg ikke mener at ASP eller PHP kan frembringe en cookie der KUN eksisterer i memory
Med hensyn til sikkerheden ved at opsnappe cookies id.
Det er jo sådan set lige meget om cookien bliver skrevet til disken eller ej, id vil stadig blive sendt fra webserveren i response objektet, eller til webserveren hvis cookien ligger på klienten. Så er det jo bare et spørgsmål om at se på http headeren med mindre forbindelsen er krypteret. I det tilfælde er det jo fuldstændigt lige meget om man skriver cookien på disk eller laver en session.
Men hvad er det som i skal lave eller tænker på at lave?? Det er jo lidt bredt at snakke sikkerhed uden at há noget at forholde sig til ;o)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
