کوکی برای ذخیره سازی اطلاعات در سیستم یوزر و خفظ وضعیت session بین درخواست های http استفاده می کنند. در این پست مقایسه کوتاهی بین این دو داریم .
کوکی هایی هستند که توسط اسکریپت های سمت یوزر مثل جاوااسکریپت قابل دسترسی هستند . برای ذخیره اطلاعات یوزر ، پیگیری رفتار یوزر و حفظ وضعیت جلسه بین درخواست های http استفاده میشن .
کوکی ها در حافظه کوکی مرورگر ذخیره میشن و می تونن توسط اسکریپت های سمت کابرد تغییر کنن .
حملات xss : در این نوع حمله ، یه اسکریپت کخرب به صفحه وب تزریق میشه و می تونه کوکی ها رو بخونه و اطلاعات حساس یا توکن های احراز هویت رو سرقت کنه .
حملات CSRF : در این نوع جمله ، یوزر بدون اطلاع با کلیک روی لینک یا ارسال فرم وادار میشه که عملیاتی روی یه برنامه انجام بده . اگه برنامه از کوکی های معمولی احراز هویت استفاده کنه ، اتکر می تونه از کوکی های یوزر برای انجام اتک استفاده کنه .
روش هایی برای کاهش خطرات در کوکی ها : ورودی های کاربر رو پاک سازی کنیم ، از کوکی های امن استفاده کنیم ، استفاده از کوکی های http only .
این کوکی ها در همون جایی که کوکی های معمولی ذخیره میشن نگهداری میشن . اما به خاطر اینکه توسط اسکریپت های سمت یوزر قابل دسترسی نیستن ، فقط به سرور ارسال میشن .
حتی به خاطر اینکه این کوکی ها توسط اسکریپت سمت یوزر قابل دسترسی نیستن ولی همچنان در معرض حملاتی مانند CSRF یا آسیب پذیری های مرورگر قراردارن .
این کوکی ها مثل کوکی های معمولی هستن ولی با فلگ HttpOnly تنظیم می شن که در برابر حملات XSS امن تر می کنه .
روش هایی برای کاهش خطرات : استفاده از کوکی های امن ، استفاده از توکن های CSRF ، محدود کردن دامنه کوکی ها و اجرای کنترل صحیح .
هر دو برای حفظ وضعیت session مفید هستن اما کوکی های regular در معرض حملات سمت یوزر مثل SXX و CSRD هستن در حالی که کوکی های http only امنیت بیشتری در برابر حملات دارن . باید از ترکیبی مثل پاک سازی ورودی ، استفاهد از کوکی های امن ، توکن های CSRF و کنترل های دسترسی مناسب استفاده بشه تا امنیت برنامه های وب افزایش پیدا کنه .
