Screatch
@Screatch
Ruby On Rails front-end developer

Кража куки — Проблема разработчика или пользователя?

Является ли несанкционированное получение доступа к системе путём кражи куки у пользователя — проблемой разработчика?

Боритесь ли вы с этим как нибудь или оставляете эту проблему на совести пользователя?

Ваши мнения?
  • Вопрос задан
  • 3761 просмотр
Пригласить эксперта
Ответы на вопрос 6
@fizot
ИМХО это сугубо проблема разработчика, т.к. юзеры бывают совершенно разные, а большинство и не знает что такое куки, граммотный разработчик же пишет свой софт для всех
Имхо тут либо привязывать к IPшнику, что не очень хорошо, т.к. большинство юзеров имеют динамические IPшники, либо принимать то, что может пострадать безопасность.
Также можно привязать к Useragent, как дополнительный параметр безопасности или даже зашифровать его в юзерагента
Ещё можно понапридумывать извращений, к примеру при каждом заходе юзера обновлять куку и т.д.
Ответ написан
antoo
@antoo
Зависит от способа кражи — будь то XSS — виноват разработчик, а если пользователь вводит в адресную строку чудо-скрипты, то сам виноват.
Ответ написан
Комментировать
NEMMO
@NEMMO
Если cookie украдены непосредственно с компьютера пользователя, то виноват сам пользователь 100%, аналогично если у вас пароль от icq украли? Мы же не будем обвинять в этом icq.com

>Зависит от способа кражи — будь то XSS — виноват разработчик

XSS — Тут без вариантов, вина только разработчика!
Ответ написан
interrupt_controller
@interrupt_controller
еще может иметь место вина разработчика браузера, если в браузере уязвимость, позволяющая украсть куки

также, если куки хранятся у клиента в не шифрованном виде — тоже по большей части вина разрабов браузера
Ответ написан
lampa
@lampa
Соглашусь с мнениями выше и добавлю от себя: обычно заворачиваю user agent + первые цифры IP адреса в md5, при входе просто сравниваю.
Ответ написан
Комментировать
NEMMO
@NEMMO
На данный вопрос, приходит один единственный ответ (судя по комментариям) — виновны все! И разработчики сайтов и пользователи и третьи лица (в нашем случаи разработчики браузеров).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы