Citat:
Originally posted by Magnus_A@Jan 17 2008, 11:32
En liten utvikning: vi lagrar ofta värden i kakor för att identifiera en återkommande användare. Identifieringen syftar till att komma ihåg enklare värden som inställningar, ej känslig data.
Vad är bra praxis (försöker använda svenska ord här)?
Att lagra oskyldig info om användare på ett krypterat sätt i kaka på användarens dator?
Att lagra oskyldig info om användare okrypterat i kaka på användarens dator?
Att endast lagra en unik identifierare i kaka hos användaren i krypterad form. Identifieraren används sedan för att hämta användarens fortfarande oskyldiga uppgifter i en databas.
Jag förutsätter att ingen obehörig har åtkomst till datorn och sitter och går igenom kakburken, och att uppgifterna det handlar om visserligen är personliga men harmlösa ur integritetssynpunkt för användare och säkerhetssynpukt för webbplatsen.
|
Praxis är väl att det spelar ingen roll om det gäller icke känslig data. Det vanligaste exemplet på data som lagras oskyddad på klienten är tex språkval för en site, om användaren vill ha större typsnitt etc. Men detta behöver ju inte lagras i klartext för det. Ett språkval kan ju lika gärna vara siffran '1' som att det skulle stå 'us-en' eller dylikt.
Regeln man kan tillämpa är väl den att om data behöver krypteras så är det ändå för känsligt för att ö.h.t lagras på klienten.