Хранить e-mail в cookies безопасно?

@marrk · Регистрация: 01.12.2013

Author24 — интернет-сервис помощи студентам

В куки храню сейчас только id юзера из БД, но есть необходимость выводить e-mail юзера на каждой странице внутри аккаунта. Безопасно ли его в куки положить что бы в БД не лазить за ним каждый раз?

@Jodah · 29.11.2015, 10:04

Сообщение от marrk

Безопасно ли его в куки положить что бы в БД не лазить за ним каждый раз?

Смотря что вы делаете с этим e-mail'ом. Если просто выводите на экран - ничего страшного.

Сообщение от marrk

В куки храню сейчас только id юзера из БД

А вот это опасно. Я могу изменить id и стать другим юзером.

@prudkiy · 29.11.2015, 11:57

Сообщение от marrk

что бы в БД не лазить за ним каждый раз

Конечно, все инфу какая постоянно необходима лучше записать в куки.
Можно еще хранить в сессии, но тогда вы будете заставлять пользователя каждый раз проходить процедуру авторизации.

Добавлено через 20 минут

Сообщение от Jodah

А вот это опасно. Я могу изменить id и стать другим юзером.

Это конечно да. В этом вопросе всегда приходитсья выбирать между безопасностью и удобностью пользователя.
Хотя и вариант кук тоже можно улучшить. Например проверять не уникальное id, а уникальный какой-то код, данный еще при авторизации, (например такого вида ip34iuE1289...)
Можно привязывать к ip машины, да оно часто есть динамическое но если это тему немного изучить
http://habrahabr.ru/post/129664/
то тогда увидев другую машину мы опять просим его авторизоваться.

@marrk · 29.11.2015, 12:20 **[ТС]**

Прошу прощения проверил, id в сессии а не в куки лежит у меня ))

@prudkiy · 29.11.2015, 12:52

Сообщение от marrk

id в сессии

тогда больше всего безопасно
)

@Jodah · 29.11.2015, 19:54

Сообщение от prudkiy

Например проверять не уникальное id, а уникальный какой-то код, данный еще при авторизации, (например такого вида ip34iuE1289...)

Считаю это не улучшением, а базовым условием. В авторизации нет смысла, если любой школьник может подменить куки и получить доступ.

@marrk 129 / 50 / 8 Регистрация: 01.12.2013 Сообщений: 572
		1
	Хранить e-mail в cookies безопасно? 29.11.2015, 06:06. Показов 1417. Ответов 5 Метки нет (Все метки) В куки храню сейчас только id юзера из БД, но есть необходимость выводить e-mail юзера на каждой странице внутри аккаунта. Безопасно ли его в куки положить что бы в БД не лазить за ним каждый раз? 0

@Jodah 3878 / 3219 / 1350 Регистрация: 01.08.2012 Сообщений: 10,863
	29.11.2015, 10:04	2
	Сообщение от marrk Безопасно ли его в куки положить что бы в БД не лазить за ним каждый раз? Смотря что вы делаете с этим e-mail'ом. Если просто выводите на экран - ничего страшного. Сообщение от marrk В куки храню сейчас только id юзера из БД А вот это опасно. Я могу изменить id и стать другим юзером. 1

@prudkiy 181 / 149 / 55 Регистрация: 21.07.2013 Сообщений: 958
	29.11.2015, 11:57	3
	Сообщение от marrk что бы в БД не лазить за ним каждый раз Конечно, все инфу какая постоянно необходима лучше записать в куки. Можно еще хранить в сессии, но тогда вы будете заставлять пользователя каждый раз проходить процедуру авторизации. Добавлено через 20 минут Сообщение от Jodah А вот это опасно. Я могу изменить id и стать другим юзером. Это конечно да. В этом вопросе всегда приходитсья выбирать между безопасностью и удобностью пользователя. Хотя и вариант кук тоже можно улучшить. Например проверять не уникальное id, а уникальный какой-то код, данный еще при авторизации, (например такого вида ip34iuE1289...) Можно привязывать к ip машины, да оно часто есть динамическое но если это тему немного изучить http://habrahabr.ru/post/129664/ то тогда увидев другую машину мы опять просим его авторизоваться. 1

@marrk 129 / 50 / 8 Регистрация: 01.12.2013 Сообщений: 572
	29.11.2015, 12:20 [ТС]	4
	Прошу прощения проверил, id в сессии а не в куки лежит у меня )) 0

@prudkiy 181 / 149 / 55 Регистрация: 21.07.2013 Сообщений: 958
	29.11.2015, 12:52	5
	Сообщение от marrk id в сессии тогда больше всего безопасно ) 0

@Jodah 3878 / 3219 / 1350 Регистрация: 01.08.2012 Сообщений: 10,863
	29.11.2015, 19:54	6
	Сообщение от prudkiy Например проверять не уникальное id, а уникальный какой-то код, данный еще при авторизации, (например такого вида ip34iuE1289...) Считаю это не улучшением, а базовым условием. В авторизации нет смысла, если любой школьник может подменить куки и получить доступ. 0