FireFox Add-ons Web Developer ส่วนของ Cookies
URL : http://chrispederick.com/work/web-developer/
วันนี้ผมจะมาพูดถึงเรื่องของ Web Security อีกตอนนึงนะครับ (ช่วงนี้ขยัน)
ในปัจจุบันการจะจำข้อมูลของผู้ใช้งานเช่นการ login จะนิยมใช้กันอยู่
3 แบบก็คือแบบใช้ Session แบบใช้ Cookie และแบบใช้ทั้ง 2 อย่างร่วมกัน
ผมจะไม่อธิบายถึงรายละเอียด ว่าแต่ละอย่างทำงานยังไง เพราะคิดว่า
ทุกท่านน่าจะรู้อยู่แล้ว แต่ผมจะพูดถึงข้อดี ข้อเสีย และจุดอ่อน ของแต่ละแบบ
ว่ามีอะไรบ้าง แล้ววิธีทดสอบ วิธีแก้ไข ต้องทำอย่างไร ..
1.แบบใช้ Session จะมีข้อดีคือข้อมูลทุกอย่างจะเก็บไว้ที่ฝั่ง server ทำให้
hacker ไม่สามารถเปลี่ยนแปลงข้อมูล ใน session ที่เก็บไว้ได้ แต่ก็ยัง
ไม่ปลอดภัยนัก ทางที่ดีควรเข้ารหัสค่าต่างๆ ใน session ด้วย
ข้อเสียก็คือ ถ้ามี server หลายๆ เครื่องทำ load balance กัน จะไม่สามารถ
เก็บ session ไว้ที่เครื่องใดเครื่องนึงได้ ต้องทำการสร้าง session server
ขึ้นมาเฉพาะ เครื่องนึง ส่วนวิธีการสร้าง session server ผมจะมาเขียนอีกที
2.แบบใช้ Cookie ข้อมูลทุกอย่างจะเก็บอยู่ที่ฝั่ง client ซึ่ง hacker สามารถ
ที่จะเปลี่ยนค่าต่างๆ ใน cookie ได้โดยวิธีการต่างๆ จากที่ผมยกตัวอย่างมา
ก็คือการใช้ add-ons Web Developer บน FireFox เป็นตัวช่วย add-ons
ตัวนี้มีความสามารถมาก โปรแกรมเมอร์ ควรมีไว้ช่วยทดสอบเวลาเขียนโปรแกรม
จากที่กล่าวมา การจะใช้ cookie นั้น ควรมีการเข้ารหัส เพื่อความปลอดภัย
เพื่อให้ hacker ไม่สามารถเดา และแก้ไขค่าต่างๆ ใน cookie ได้ โดยเฉพาะ
เรื่องการ login ที่เก็บค่า user-password ไว้ใน cookie ต้องระวังมากเป็นพิเศษ
ข้อดีของ cookie ก็คือ ง่ายสะดวก และไม่มีปัญหา ในกรณีมี server หลายเครื่อง
3.ใช้ Session+Cookie เป็นวิธีที่ใช้ผสมผสานกัน ส่วนที่สำคัญมากๆ จะเก็บเป็น
session ส่วนที่ไม่มีผลอะไรมากมาย จะเก็บลง cookie วิธีนี้จะทำให้ได้ประสิทธิภาพ
มากขึ้นและปลอดภัยมากขึ้น แต่อย่างไรก็ตาม การเข้ารหัสข้อมูลใน session และ
cookie เป็นสิ่งที่สำคัญต่อความปลอดภัยเป็นอย่างยิ่ง จะปล่อยปละละเลยไม่ได้ ..
เรื่องที่ผมพูดถึงเป็นเรื่องที่สำคัญมากที่โปรแกรมเมอร์มักหลุดบ่อยๆ ทำให้ hacker
สามารถเข้าถึงสิ่งที่ต้องการได้ง่ายดาย เพียงอาศัยช่องโหว่ ตรงนี้ ..
ปล.สำหรับตอนต่อไป อย่าลืมติดตามอ่านกันนะครับ รับรองว่าได้รับสาระความรู้
เกี่ยวกับเรื่อง Web Security กันแบบเนื้อๆ แน่นอนครับ ไม่มีกั๊ก 🙂