Когда вы думаете о безопасности и опыте пользователя, какая информация должна быть в порядке, приемлемо или даже хорошая идея для хранения в файле cookie?
EDIT:
С пониманием, что конфиденциальная информация, такая как имена пользователей, пароли, SSN, номера кредитных карт там не принадлежат, что делает?
Определенно не пароли! Или что-нибудь чувствительное... помните, что файлы cookie хранятся на компьютерах людей, поэтому с вашей точки зрения (как разработчик веб-сайта) они в основном находятся в дикой природе, потенциально доступны для всех.
Общей практикой является просто сохранить идентификатор сеанса в файле cookie и сохранить всю другую соответствующую информацию в базе данных (или файле или на любом) на сервере, индексированном по идентификатору сеанса.
Гораздо проще ответить на то, что неприемлемо хранить в cookie. Все, что должно оставаться в безопасности, не должно храниться. Это включает в себя пароли, номера кредитных карт, номера социального страхования и т.д.
Я думаю, что хорошо хранить имя пользователя для входа, так как эта информация действительно не чувствительна. Настройки пользовательских настроек для вашего сайта также должны быть в порядке.
Помните, что файлы cookie - это просто текстовые файлы, которые кто-то (или какое-то приложение) может открывать и читать или писать, поэтому вы не должны доверять информации, получаемой из файла cookie. Санируйте его так же, как и любой другой пользовательский ввод.
Одно из предложений заключается в том, что вы не сохраняете любые ключи в своей базе данных в файлах cookie. то есть адреса электронной почты, идентификатор столбца и т.д. Если это так, вы должны зашифровать данные.
Ну, кроме конфиденциальных и связанных с безопасностью данных, на самом деле нет ограничений на то, что вы не можете и можете сохранить, но просто помните, что если эти данные не сохраняются на стороне сервера, это может быть полностью потеряно, и следует предположить что, если пользователь удаляет файлы cookie, это не будет неудобно для него слишком сильно, чтобы восстановить его настройки/настройки. Здесь нет никаких рекомендаций, кроме использования хорошего здравого смысла.
Однако существуют ограничения на использование файлов cookie. Вы не должны превышать 19 файлов cookie на домен, и cookie не должен превышать 4 КБ (4096 байт) согласно ограничения IE:
Каждый файл cookie начинается с имени-значения пара. За этой парой следует ноль или больше пар атрибут-значение, которые разделенных точками с запятой. Для одного доменное имя, каждый файл cookie ограничен 4096 байт. Эта сумма может существовать как одна пачка имени-значения в 4 килобайта (KB) или как до 20 пар имя-значение что всего 4 КБ. Если компьютер не хватает места для хранения cookie, cookie отбрасывается. это не усекается. Приложения должны использовать как можно меньше куки и как маленький печенье, насколько это возможно. Кроме того, приложения должны быть способный обрабатывать потерю файла cookie.
Если веб-приложение использует более 19 пользовательские файлы cookie, состояние сеанса ASP может Потерянный. Internet Explorer 4.0 и более поздние версии позволяют в общей сложности 20 cookie для каждого домена. Потому как ASPSessionID - это файл cookie, если вы используете 20 или более пользовательских файлов cookie, браузер принудительно отбрасывает ASPSessionID cookie и потерять сеанс.
Не храните ничего в Cookie, которое позволит взломать или получить доступ к вашему сайту, не пройдя через соответствующие каналы. Обычно только идентификатор сеанса или идентификатор пользователя хранятся в файле cookie и часто в форме, которая должна быть непрозрачной для любого, кроме потребителя cookie.
Я бы избегал хранить все, что, если бы оно было изменено, нарушило бы функциональность сайта.
Таким образом, хранение чего-то типа идентификатора пользователя, цены на товары для покупок, пароль, роли пользователей и т.д. являются проблематичными. Я сохраняю подобные вещи в данных сеанса пользователя на сервере.
Сохранение имени пользователя или информации профиля (только для целей отображения), настройки настройки (цвета, текст и т.д.) в порядке.
Нет ничего плохого в сохранении конфиденциальной информации в cookie, если эта информация зашифрована (сами данные не являются четким текстом), а файл cookie - безопасный файл cookie (https). На самом деле гораздо хуже иметь все конфиденциальные данные на одном сервере БД, которые могут быть взломаны, а затем вы столкнулись с потенциально гораздо более серьезной проблемой безопасности.