2015-07-03
323
В программном средстве, которое получилось в результате выполнения лабораторных работ 1–6, реализовать механизм регистрации и авторизации пользователей, механизм авторизации администратора, механизм управления списком и набором прав пользователей.
В механизме авторизации пользователей предусмотреть возможность долговременной авторизации (функция "запомнить меня"), а также кратковременной авторизации с максимальной защитой личных данных (функция "чужой компьютер").
В случае, если разрабатываемое вами программное средство допускает использование электронной корзины, реализовать её.
В случае, если разрабатываемое вами программное средство допускает использование поиска по сайту, доработать его таким образом, чтобы для каждого посетителя (в т.ч. такого, который не зарегистрирован и не авторизован) хранилась история его поисковых запросов.
Рекомендации по выполнению заданий
Механизм сессий и куки – один из немногих способов предоставить веб-серверу возможность "опознавать" запросы, как приходящие от одного и того же пользователя.
|
|
|
Суть использования куки заключается в сохранении браузером данных на стороне клиента и отправке их на сторону сервера при каждом запросе.
Суть использования сессий заключается в передаче на сторону клиента специального идентификатора (который может храниться в куки или передаваться через ссылки и формы), с которым проассоциирован набор данных, сохранённый на стороне сервера.
Использование куки позволяет посетителям ресурсов применять некоторые настройки без регистрации, а серверу позволяет опознавать таких пользователей и применять их настройки, а также отслеживать статистику использования этими пользователями ресурса.
С использованием сессий и куки связано некоторое количество потенциальных проблем в области безопасности:
– куки могут быть украдены злоумышленником, а потому не следует хранить в них конфиденциальных данных;
– куки могут быть модифицированы пользователем, а потому данные, полученные из них, следует подвергать тщательной фильтрации наряду с данными, полученными через формы или ссылки;
– сессии являются более безопасным способом хранения информации, т.к. она находится только на стороне сервера, однако атака типа "кража сессии" (кража и подмена идентификатора сессии) позволяет злоумышленнику достичь своей цели и в такой ситуации, что требует принятия дополнительных мер безопасности.
