Что лучше — сессии или кэш?

Question

[GennadyPHP]

Привет. Из бд нужно авторизовать пользователя, при этом куда-то записать данные. Что будет использовать целесообразнее? cache или $_SESSION? И какие у того и того варианта преимущества ( или минусы ) друг перед другом?

Предвижу вопросы:
- данных для записи в кэш или сессии много
- данные в кеше или сессии меняются редко
- нужен быстрый и безопасный вариант, а как я знаю, сессию можно своровать

Answer 1

[Алексей Елецкий]

Без более точной инфы по данным в сессии и профилю нагрузки сказать сложно.

Нужно смотреть что дороже вам выйдет:

- если серверные ресурсы дорого обходятся, то храним данные в сессии
- если большой объём данных в сессии негативно скажется на трафике пользователей, то делаем кэш.

>сессию можно своровать
Своровать саму сессию можно и кэш тут не поможет (своруют айдишних). Два соображения по этому данных:

- данные сессии в кукисах надо шифровать (посолили, поперчили, зашифровали, отдали пользователю) - так сами данные не утекут (а вот сессия может).
- чтобы своровать саму сессию было сложно, используйте https.

Comments

[ThunderCat]

- если серверные ресурсы дорого обходятся, то храним данные в сессии

хм, каким образом это сэкономит нам серверные ресурсы?
Все еще не очень понимаю что тс подразумевал под "кэш"...

[Алексей Елецкий]

Я так понял под кэшем он понимает какое-нибудь inmemory хранилище: redis, memcached.

Соответственно. Если мы можем позволить себе столько оперативы, чтобы хранить данные пользователя в нём и если нам не дорого постоянно в него лазать, то используем. Если дорого (денег не хватает, эпический кластер подымать надо, etc) то не спользуем.

Answer 2

[ThunderCat]

а как я знаю, сессию можно своровать

беда, расходимся (

Comments

[GennadyPHP]

низя?

[GennadyPHP]

ну а если ID сессии одного пользователя подменить другому? ведь мы можем увидеть ID сессии. Это я имел в виду под этой фразой

[Vasyl Fomin]

GennadyPHP, а где по вашему сессии хранятся?

[GennadyPHP]

Vasyl Fomin, идентификатор сессии хранится в качестве куки на компьютере, т.е. подменив этот куки, мы получим другие данные сессии. не так?

[ThunderCat]

GennadyPHP, все можно, в том числе если ключ шифрования одного пользователя отдать другому, он же сможет расшифровывать то что первый зашифровал? Беда...
Короче безопасность таких достаточно распространенных вещей как сессии должна волновать вас в последнюю очередь. Гораздо проще подобрать пароль перебором, если у злоумышленника нет прямого доступа к машине цели. В случае особой паранои добавляют проверку токеном.
Кроме того - кэш это что в вашем понимании?

[ThunderCat]

GennadyPHP,

идентификатор сессии хранится в качестве куки на компьютере, т.е. подменив этот куки, мы получим другие данные сессии. не так?

так, вопрос только как залезть в компьютер? Если безопасность компьютера на нуле, последнее что вас будет интересовать - данные из куки, проще тогда уже перехватить пароль на этапе ввода, это гораздо интереснее.

[FeNUMe]

Если уж так хочеться попараноить по поводу кражи сессий, то добавьте еще привязку сессии к "отпечатку"(fingerprint) клиента, чтобы при попытке входа с другого браузера/ос/айпи/итд сессия убивалась и нужно было заново авторизоваться.
Естественно это не 100% защита, но от автоматических краж и скрипткидисов поможет.

[DevMan]

GennadyPHP, Гена, а как ты будешь связывать кэш с конкретным юзером?
Ответь на этот вопрос и мы вернёмся к обсуждению безопасности.

Answer 3

[Dimonchik]

Кеш для студента всегда лучше сессии, даже самой легкой