Flera metoder är * inte * bäst när du sparar kakor på en hårddisk. Det är svårt att välja * den * enda värsta, eftersom olika dåliga praxis har olika konsekvenser. Men här är några som sticker ut som särskilt fattiga:
* lagring känslig information i kakor utan kryptering: Detta är utan tvekan det värsta. Cookies bör * aldrig * innehålla känsliga data som lösenord, kreditkortsnummer eller personlig identifierbar information (PII) såvida de inte är strikt krypterade med starka, moderna algoritmer (och även då är det riskabelt). PlainText -kakor är oerhört sårbara.
* Ställa in alltför långa utgångsdatum: Även om de praktiska, långlivade kakorna ökar risken för att ett säkerhetsöverträdelse exponerar känslig data (om någon lagras). De gör det också svårare att hantera cookie -rotation och återkalla åtkomst om det behövs. Att förkorta utgångstider är en viktig säkerhetsåtgärd.
* spara kakor utan att använda flaggan `httponly 'där så är lämpligt: Denna flagga förhindrar att skript på klientsidan (som JavaScript) får åtkomst till cookien, vilket avsevärt mildrar risken för attacker för skript (XSS). Att utelämna "httponly" är en stor säkerhetsfel.
* specificerar inte "Secure" -flaggan för känsliga kakor: Den "säkra" flaggan säkerställer att kakan endast överförs över HTTPS och förhindrar avlyssning på osäkra anslutningar. Underlåtenhet att använda denna flagga när man hanterar känslig information är ett allvarligt utelämnande.
* ignorerar attributet "Samesite": Detta attribut hjälper till att förhindra CSRF-attacker på tvärsida (CSRF) genom att begränsa situationerna under vilka en cookie skickas. Felaktig användning eller utelämnande försvagar säkerheten avsevärt.
* sparar för många kakor: Även om det inte är direkt en säkerhetsfråga, kan ett överdrivet antal kakor försämra webbläsarens prestanda och konsumera onödigt lagringsutrymme. God praxis innebär att regelbundet städa upp gamla eller oanvända kakor.
Kort sagt, alla praxis som komprometterar säkerhet, integritet eller prestanda relaterade till kakor betraktas som dålig praxis. De mest avgörande aspekterna är kryptering för känslig data, noggrann övervägande av utgångstider och användning av säkerhetsflaggor som `httponly`,` secure` och `Samesite`.
