Güzel bir video
https://www.youtube.com/watch?v=TmaZCfWn8uc
Ayrıca videonun yorumlarında da sorular ve sorulara verilen güzel cevaplar var.
Soru 1:
What's the security benefit of using remember me cookies vs just having a longer session lifetime?
Beni hatırla çerezlerini kullanmanın, daha uzun bir oturum ömrüne sahip olmaya kıyasla güvenlik açısından faydası nedir?
Kullanıcının (Daron) Verdiği Cevap:
I think it has more to do with how sessions can also store data. If you have a really long session life and use the session to store various data across your app, the size of the session on disk/redis could grow quite large. That's potentially a lot of wasted resources just to ensure that the user stays logged in long term.
In regards to security, they seem about the same.
Bence bu daha çok oturumların verileri nasıl depolayabildiğiyle ilgili. Gerçekten uzun bir oturum ömrüne sahipseniz ve oturumu uygulamanızda çeşitli verileri depolamak için kullanıyorsanız, disk/redis üzerindeki oturumun boyutu oldukça büyüyebilir. Bu, kullanıcının uzun süre oturumda kalmasını sağlamak için potansiyel olarak çok fazla kaynak israfı anlamına gelir.
Güvenlik açısından hemen hemen aynı görünüyorlar.
Kanal Sahibinin Verdiği Cevap:
Daron raised a really great point about wasting resources.
A session is created regardless of wether you authenticate or not. Imagine lots of people are visiting your app during a year (even if it's just one request). You may end up with a gazzilion not-really-used sessions laying around.
I'd argue the remember_me cookie is more secure as it becomes invalid when a user changes their password, unlike a session cookie that would still continue to work.
Daron, kaynak israfı konusunda gerçekten harika bir noktaya değindi.
Kimlik doğrulaması yapsanız da yapmasanız da bir oturum oluşturulur. Bir yıl boyunca uygulamanızı çok sayıda kişinin ziyaret ettiğini düşünün (sadece bir istek olsa bile). Ortalıkta gerçekten kullanılmayan bir sürü oturumla karşılaşabilirsiniz.
Bir kullanıcı şifresini değiştirdiğinde geçersiz hale geldiği için remember_me çerezinin daha güvenli olduğunu iddia ediyorum, çalışmaya devam edecek bir oturum çerezinin aksine.
Soru 2:
now i am scared of having remember me option, if it exposes hashed passwords
şimdi beni hatırla seçeneğine sahip olmaktan korkuyorum, eğer karma şifreleri açığa çıkarırsa
Cevap:
it's fine 😂
the cookie rotates, it's encrypted, and httpOnly (only the browser can access it)
Sorun yok.
çerez döner, şifrelenir ve httpOnly (yalnızca tarayıcı erişebilir)