» »

Problem "izbrišite piškotke"

Problem "izbrišite piškotke"

MrStein ::

mm&r je izjavil:


Sem že nekajkrat poiskusil izvesti UPN plačilo pa me vedno ob kliku na "Potrdite" preusmeri na screen "Prišlo je do napake" poskusite ponovno.
Kontaktiral sem banko na telefonsko izpisano v sporočilu o napaki pa sem dobil nasvet naj spucam piškotke in se ponovno prijavim (verjento standarni izgovor first level supporta).



To me je spomnilo, da vprašam druge developerje, kako lahko pride do takšne situacije?

Sam že "desetletja" med drugim razvijam spletne aplikacije in še nikoli ni bilo situacije, da kakemu uporabniku ne bi delalo in bi rešitev bila "izbrišite kukije".

Kako mora biti aplikacija/spletna stran napisana, da do tega pride? Kako dogodek sproži ta scenarij?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Jure14 ::

Hm, mogoče je v piškotkih zapisan kak neveljaven podatek.
In aplikacija ne preverja pravilnosti/oblike tega podatka, pa zato javi napako.
(naemsto da bi v takem primeru nek default privzela)

Napačen podatek pa se lahko v piškotke vpiše ker recimo uporabnik v aplikacijo kaj neumenga vpiše, aplikacija pa ne preverja, mogoče brskalnik napačno oblikuje podatek (recimo kak datum al pa decimalko), mogoče se pa na disku kaj pokvari, mogoče kak plugin v brskalniku kaj spreminja, mogoče antivirus,...

Spura ::

MrStein je izjavil:

mm&r je izjavil:


Sem že nekajkrat poiskusil izvesti UPN plačilo pa me vedno ob kliku na "Potrdite" preusmeri na screen "Prišlo je do napake" poskusite ponovno.
Kontaktiral sem banko na telefonsko izpisano v sporočilu o napaki pa sem dobil nasvet naj spucam piškotke in se ponovno prijavim (verjento standarni izgovor first level supporta).



To me je spomnilo, da vprašam druge developerje, kako lahko pride do takšne situacije?

Sam že "desetletja" med drugim razvijam spletne aplikacije in še nikoli ni bilo situacije, da kakemu uporabniku ne bi delalo in bi rešitev bila "izbrišite kukije".

Kako mora biti aplikacija/spletna stran napisana, da do tega pride? Kako dogodek sproži ta scenarij?
Verjetno majo cookie za sejo. Ko se izpises, je lahko implementacija taka, da pac si v seji nastavi status da si izpisan, ampak seja gre naprej, cookie se ne brise. Kot se spet prijavis nadaljujes z isto sejo.

Problem, ki ga to lahko povzroci je to, da ce imas v seji kake podatke, ki povzrocajo error, tega ne mores popravi s tem da se izpises iz appa in nazaj logiras in moras dejansko zbrisat cookie da dobis povsem novo sejo.

Ahim ::

Kot je Spura napisal - na dolocenih tipih strani hoces (oziroma nekdo hoce) da se session ohrani nekaj casa, denimo da ostanejo v kosarici stranki neki artikli, ki jih je dala noter, in upas da bo ob naslednjem obisku vendarle zakljucila nakup.

In ce je kdaj super, da lahko stanje ohranis (session cookie povezes s pdoatki v svoji bazi in serviras vsebino glede na stanje sessiona), lahko tudi pride do primera, ki ni v redu pokrit in pac privede stran v neuporabno stanje, kar pa ni super. Ko vprasas marketingarje, je pa vec vredno da session in vodenje stanja na strani streznika ostane ostane, customer care bo ze zrihtal s polnk ceglcom ;)

MrStein ::

Spura je izjavil:

Verjetno majo cookie za sejo. Ko se izpises, je lahko implementacija taka, da pac si v seji nastavi status da si izpisan, ampak seja gre naprej, cookie se ne brise. Kot se spet prijavis nadaljujes z isto sejo.

Po logout je fajn session invalidirati.
Pri loginu pa sploh (Session fixation napad).

(ja, so izjeme kot spletne trgovine, ampak tu ne mislim na njih; kaj ima recimo spletna banka za "zapomniti" med logini?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ahim ::

MrStein je izjavil:

(ja, so izjeme kot spletne trgovine, ampak tu ne mislim na njih; kaj ima recimo spletna banka za "zapomniti" med logini?)

Podobno kot trgovina - lahko poskusa biti prevec "ustrezljiva" in tevrne tjm, kjer si bil nazadnje. Ce ni implementirano v redu se pojavi taka tezava.

MrStein ::

To se lahko naredi brez kukijev, ampak ja... šalabajzija.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ahim ::

MrStein je izjavil:

To se lahko naredi brez kukijev, ampak ja... šalabajzija.

Kako se pa naredi vezava sessiona na klienta (brskalnik) brez cookiejev, pa da deluje zanesljivo v obe smeri (torej da ni vmes kak fingerprinting, ki lahko tvoj session dodeli meni, da vedno svoj session nazaj dobis samo ti in nihce drug)?

*edit* pozabil dodat: pa brez kreiranja accountov (logina), ker tega vecina ljudi itak noce poceti.

Zgodovina sprememb…

  • spremenil: Ahim ()

MrStein ::

Govora je bilo o "spletna banka za "zapomniti" med logini?"

Torej se user logina in tako server ve kdo je.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pripravite vašo spletno stran na nov zakon o piškotkih (strani: 1 2 3 412 13 14 15 )

Oddelek: Izdelava spletišč		744218493 (170059) Tydek
»

ZEKom-1 po dveh tednih (strani: 1 2 )

Oddelek: Novice / Zasebnost		9321092 (16029) jype
»

Shranjevanje v sejo

Oddelek: Izdelava spletišč		81019 (752) faca5
»

Php varen login

Oddelek: Programiranje		203966 (3466) Volk|
»

Prenašanje cookijev med poddomenami

Oddelek: Informacijska varnost		201873 (1588) jype

Več podobnih tem