Sie sagen, Cookies sind schlecht . Ich persönlich bin der Meinung, dass es einen "intelligenteren" Weg geben sollte, den Status eines Benutzers in einer Webanwendung zu erkennen.
Sagen wir mal so, derzeit funktioniert es in einer verteilten Umgebung, in der xyz.com viele Pools und Server hat (von denen ich weiß):
- Benutzer meldet sich bei xyz.com an
- Das Login-Modul von xyz.com legt ein Cookie auf dem lokalen Rechner des Kunden ab.
- Wenn der Kunde nun Feature1 von xyz.com aufruft, prüft der Feature1-Pool, ob ein lokaler Cookie vorhanden ist, und wenn er ihn findet und er noch nicht abgelaufen ist, geht Feature1 davon aus, dass der Kunde gut ist, und lässt ihn herein.
Daher vertraut Feature1 dem Client aufgrund des vom Login-Modul abgelegten Cookies blindlings.
Aber ich sehe hier einen grundlegenden Fehler in Stufe 3. Was ist, wenn ein Hacker einen Cookie klont und versucht, etwas zu tun? (was das erste ist, was ein Hacker offensichtlich versuchen wird, nämlich Cookie-Sniffing)
Gibt es also eine Alternative dazu? - Wie werden Web-Speicher, Flash-gespeicherte Objekte in Zukunft funktionieren? oder werden Cookies herrschen?
Ich suche nicht nach einer offensichtlichen Antwort, denn es gibt keine. Ich interessiere mich für verschiedene Sichtweisen, wie man dieses Problem angehen kann.
Danke
