Cookies, Sessions ו-Tokens — איך אתרים זוכרים שאתם מחוברים
צוות CyberHub · לפני 19 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
HTTP הוא 'חסר זיכרון', אז איך אתר זוכר שהתחברתם? באמצעות cookies, sessions ו-tokens (כמו JWT). נסביר את ההבדל.
HTTP הוא פרוטוקול חסר-מצב (stateless) — כל בקשה עומדת בפני עצמה. אז איך אתר "זוכר" שהתחברתם? הנה שלושת המנגנונים.
Cookie
פיסת מידע קטנה שהשרת שולח, והדפדפן שומר ומחזיר בכל בקשה לאותו אתר. כך נשמרת זהות.
Session
השרת יוצר "הפעלה" עם מזהה אקראי, שומר את הפרטים אצלו, ושולח ללקוח רק את ה-session ID (ב-cookie). הלקוח לא רואה את הנתונים.
Token (כמו JWT)
במקום שהשרת יזכור, הוא נותן ללקוח token חתום שמכיל את הזהות. הלקוח שולח אותו בכל בקשה. השרת רק מאמת את החתימה — לא צריך לזכור (stateless, נוח ל-API).
⚠️ JWT חתום אבל לא מוצפן — כל אחד יכול לקרוא את תוכנו. אל תשימו בו סוד.
אבטחה
- Cookies: סמנו HttpOnly (לא נגיש ל-JS, חוסם XSS-גניבה), Secure (רק HTTPS), SameSite (חוסם CSRF).
- Tokens: זמן תפוגה קצר, אחסון בטוח.
הבנת המנגנונים האלה היא הבסיס לכל מתקפת/הגנת אימות.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
📘 עוד מדריך
אתיקה והאקינג חוקי — הקווים האדומים
ההבדל בין האקר אתי לפושע הוא רשות. נסביר את הגבולות החוקיים, מהי האקינג אתי, ולמה מוניטין הוא הנכס החשוב ביותר בתחום.
Red Team מול Blue Team — מי נגד מי בעולם הסייבר
בארגוני אבטחה יש 'תוקפים מטעם' (Red Team) ו'מגינים' (Blue Team), ולפעמים גם Purple שמחבר ביניהם. נסביר מה כל צד עושה ואיך בוחרים מסלול.
איך מזהים מייל פישינג (Phishing) ב-30 שניות
פישינג הוא ניסיון להתחזות (לבנק, לחברה, לחבר) כדי לגנוב פרטים או סיסמאות. רוב המיילים האלה מסגירים את עצמם בכמה סימנים פשוטים.