Рекомендации по выполнению заданий

Механизм сессий и куки – один из немногих способов предоставить веб-серверу возможность "опознавать" запросы, как приходящие от одного и того же пользователя.

Суть использования куки заключается в сохранении браузером данных на стороне клиента и отправке их на сторону сервера при каждом запросе.

Суть использования сессий заключается в передаче на сторону клиента специального идентификатора (который может храниться в куки или передаваться через ссылки и формы), с которым проассоциирован набор данных, сохранённый на стороне сервера.

Использование куки позволяет посетителям ресурсов применять некоторые настройки без регистрации, а серверу позволяет опознавать таких пользователей и применять их настройки, а также отслеживать статистику использования этими пользователями ресурса.

С использованием сессий и куки связано некоторое количество потенциальных проблем в области безопасности:

– куки могут быть украдены злоумышленником, а потому не следует хранить в них конфиденциальных данных;

– куки могут быть модифицированы пользователем, а потому данные, полученные из них, следует подвергать тщательной фильтрации наряду с данными, полученными через формы или ссылки;

– сессии являются более безопасным способом хранения информации, т.к. она находится только на стороне сервера, однако атака типа "кража сессии" (кража и подмена идентификатора сессии) позволяет злоумышленнику достичь своей цели и в такой ситуации, что требует принятия дополнительных мер безопасности.