Сесс болон күүки нь вэб програмын аюулгүй байдлын үндсэн ойлголт бөгөөд хэрэглэгчийн баталгаажуулалт болон зөвшөөрлийн мэдээллийг хадгалахад чухал үүрэг гүйцэтгэдэг. Сесс нь күүки дээр бүтээгдсэн дээд түвшний ойлголтын хувьд үйлчлүүлэгч болон серверийн хооронд логик холболтыг бий болгодог. Хэрэглэгч вэб сайт руу нэвтрэх үед сесс үүсэж, өвөрмөц сесс танигч нь күүки дотор хадгалагдана. Энэ танигчийг дараа нь олон хүсэлтийн дагуу хэрэглэгчийн тусгай мэдээллийг хадгалахад ашигладаг.
Веб програмын аюулгүй байдал дахь сесс болон күүкигийн ач холбогдлыг ойлгохын тулд тэдгээрийн функцууд болон хэрхэн хамтран ажилладаг талаар судлах нь чухал юм. Хичээлүүдийг шалгаж эхэлцгээе.
Sessions нь вэб програмтай тодорхой хэрэглэгчийн харьцаж буй байдлын талаарх мэдээллийг серверт хадгалах боломжийг олгодог механизм юм. Эдгээр нь үндсэндээ серверт хэрэглэгчийн хувийн мэдээлэл болон бусад холбогдох мэдээллийг вэбсайт дээрх сессийн туршид санах боломжийг олгодог. Сессийг ихэвчлэн хэрэглэгчийн сонголт, сагсанд орсон контент эсвэл нэвтрэх үнэмлэх зэрэг мэдээллийг хадгалахад ашигладаг.
Хэрэглэгч вэбсайт руу нэвтрэх үед сервер дээр сесс үүсдэг. Энэ сесс нь ихэвчлэн сесс ID гэж нэрлэгддэг өвөрмөц сесс танигчтай холбоотой байдаг. Сеансын ID нь сервер дээрх хэрэглэгчийн сессийн өгөгдөлд хандах түлхүүр болдог тэмдэгтүүдийн санамсаргүй байдлаар үүсгэгдсэн мөр юм.
Үйлчлүүлэгч болон серверийн хоорондын холбоог хадгалахын тулд сесс ID-г күүки дотор хадгалдаг. Күүки гэдэг нь серверээс үйлчлүүлэгчийн хөтөч рүү илгээгдэж, дараачийн хүсэлтээр буцаадаг жижиг өгөгдлүүд юм. Тэдгээр нь үйлчлүүлэгчийн машин дээр хадгалагдаж, хүсэлт болгонд сервер рүү буцаж илгээгддэг бөгөөд энэ нь серверт үйлчлүүлэгчийг таньж, харгалзах сессийн өгөгдлийг олж авах боломжийг олгодог.
Күүкид хадгалагдсан сессийн ID нь хэрэглэгчийн баталгаажуулалт болон зөвшөөрлийн мэдээллийг хадгалахад маш чухал юм. Үйлчлүүлэгч дараагийн хүсэлт гаргах үед сервер нь хэрэглэгчийн сессийн өгөгдлийг сэргээхийн тулд күүки дэх сессийн ID-г ашиглаж болно. Энэ өгөгдөлд хэрэглэгчийн нэвтрэлт танилтын байдал, хандалтын эрх болон хувийн туршлагыг бий болгоход шаардлагатай бусад холбогдох дэлгэрэнгүй мэдээлэл багтана.
Сеанс болон күүки ашигласнаар вэб програмууд нь хэрэглэгчид вэб сайттай харьцах хугацаандаа баталгаажуулж, зөвшөөрөлтэй хэвээр байх болно. Энэ нь нууц мэдээлэлд зөвшөөрөлгүй хандахаас сэргийлж, хэрэглэгчид дахин дахин итгэмжлэл өгөхгүйгээр хувийн тохиргоо болон өгөгдөлдөө хандах боломжтой болно.
Аюулгүй байдлын болзошгүй эрсдлийг бууруулахын тулд сесс болон күүкиг найдвартай хэрэгжүүлэх ёстой гэдгийг анхаарах нь чухал юм. Жишээлбэл, халдагчдыг таамаглах, хүчирхийлэхээс урьдчилан сэргийлэхийн тулд хүчтэй криптографийн алгоритмуудыг ашиглан сессийн ID-г үүсгэх хэрэгтэй. Нэмж дурдахад саад хийх, хөндлөнгөөс оролцохоос сэргийлэхийн тулд сессийн ID-г шифрлэгдсэн сувгуудаар (жишээ нь, HTTPS) найдвартай дамжуулах ёстой. Вэб програм хөгжүүлэгчид мөн күүкид хадгалагдсан өгөгдлүүдэд болгоомжтой хандаж, нууц мэдээллийг халдлагад өртөхгүй байх ёстой.
Сесс болон күүки нь вэб програмын аюулгүй байдлын чухал бүрэлдэхүүн хэсэг юм. Сесс нь үйлчлүүлэгч болон серверийн хооронд логик холболтыг бий болгодог бол күүки нь серверт хэрэглэгчийн баталгаажуулалт болон зөвшөөрлийн мэдээллийг олон хүсэлтээр хадгалах боломжийг олгодог өвөрмөц сесс танигчийг хадгалдаг. Сеанс болон күүкиг найдвартай хэрэгжүүлснээр вэб програмууд аюулгүй байдлыг сайжруулж, хэрэглэгчдэдээ хувийн туршлагыг бий болгож чадна.
Сүүлийн үеийн бусад асуулт, хариулт DNS, HTTP, күүки, сесс:
- Аюулгүй сесс ID-г ашиглах, HTTPS-ээр дамжуулах гэх мэт хэрэглэгчийн нэвтрэх мэдээлэлтэй ажиллахдаа яагаад аюулгүй байдлын зохих арга хэмжээг хэрэгжүүлэх шаардлагатай байна вэ?
- Сеанс гэж юу вэ, тэдгээр нь үйлчлүүлэгч болон серверүүдийн хооронд төлөв байдлын харилцаа холбоог хэрхэн идэвхжүүлдэг вэ? Сеанс хулгайлахаас сэргийлэхийн тулд сессийг аюулгүй удирдахын ач холбогдлын талаар ярилц.
- Вэб програмууд дахь күүкиний зорилгыг тайлбарлаж, күүки буруутай харьцахтай холбоотой аюулгүй байдлын эрсдэлийн талаар ярилц.
- HTTPS нь HTTP протоколын аюулгүй байдлын эмзэг байдлыг хэрхэн зохицуулдаг вэ, нууц мэдээллийг дамжуулахад HTTPS ашиглах нь яагаад чухал вэ?
- Вэб протоколд DNS ямар үүрэг гүйцэтгэдэг вэ, яагаад DNS аюулгүй байдал нь хэрэглэгчдийг хортой вэбсайтаас хамгаалахад чухал байдаг вэ?
- HTTP клиентийг эхнээс нь хийх үйл явц болон TCP холболт үүсгэх, HTTP хүсэлт илгээх, хариу хүлээн авах зэрэг шаардлагатай алхмуудыг тайлбарлана уу.
- Вэб протокол дахь DNS-ийн үүрэг, домэйн нэрийг IP хаяг руу хэрхэн хөрвүүлдэг талаар тайлбарлана уу. Хэрэглэгчийн төхөөрөмж болон вэб серверийн хооронд холболт тогтооход DNS яагаад зайлшгүй шаардлагатай вэ?
- Күүки вэб программд хэрхэн ажилладаг вэ, тэдгээрийн гол зорилго нь юу вэ? Мөн күүкитэй холбоотой аюулгүй байдлын эрсдэл юу вэ?
- HTTP дахь "Referer" ("Refer" гэж буруу бичсэн) толгойн зорилго нь юу вэ, яагаад хэрэглэгчийн зан төлөвийг хянах, лавлагааны урсгалд дүн шинжилгээ хийхэд үнэ цэнэтэй вэ?
- HTTP дахь "Хэрэглэгч-Агент" толгой нь серверт үйлчлүүлэгчийн таних тэмдгийг тодорхойлоход хэрхэн тусалдаг вэ, яагаад энэ нь янз бүрийн зорилгоор хэрэгтэй вэ?
DNS, HTTP, күүки, сессүүдээс илүү олон асуулт, хариултыг харна уу