Efendim biliyorsunuz ki cookie(çerez) ile web sitesi sahipleri bir kullanıcının bilgisayarına ufak dosyalar bırakarak ziyaretçi ile ilgili çeşitli bilgileri kullanıcının bilgisayarında saklayabiliyorlar. Bu cookie’ler basit bilgiler olmayıp yönetici konumundaki kişilerin kullanıcı adı ve parolasını da barındırabiliyor. Bu da akla güvenlik ile ilgili bir zaafı ortaya çıkarıyor. Bir yöneticinin cookie’si çalınırsa ve herhangi bir cookie editör programı ile bir üyenin cookie’si yöneticinin cookiesi değiştirilirse hiç de iyi şeyler çıkmaz ortaya. internette xss yöntemiyle cookie çalmak konusunu araştırınca bu konuda bilgi bulabilirsiniz.
Peki bu problemin üstesinden gelmek için ne yapılmış: Session (oturum) denen başka bir cookie çeşidi düşünülmüş. bu session kullanıcının bilgisayarında dosya bırakmayıp sadece belli bir süre geçerli olmak kaydıyla web sitesinin barındığı bilgisayarda (server) cookie oluşturuyordu. böylece kullanıcının zayıflıklarından yararlanmak suretiyle cookie’nin çalınması ve değiştirilmesi ortadan kaldırıldı. Ancak session’un da can sıkıcı bir noktası var ki o da browser’ın penceresi kapatıldığı zaman session’un silinmesi. bankacılık işlemleri gibi yüksek güvenlik gerektiren durumlarda session oldukça faydalı.
Buraya kadar anlatılan her şeyi çoğu insan zaten biliyor olmalı. Önemli olan bundan sonrası. Asp.net en yakın rakibi php’ye fark atarak bu cookie ve session olayına yeni bir boyut getirdi. bu da: Cookiesiz Session. Cookie’siz session ne kullanıcının bilgisayarında(client) ne de web sitesinin barındığı bilgisayarda (server) hiçbir dosya bırakmadan client ve server arasında iletişim sağlıyor. peki bunu nasıl yapıyor? asp.net siteye giren her kullanıcıya her sessionda(oturumda) bir kere kullanmak üzere rasgele bir id numarası üretiyor ve onu url adresine ekliyor. o anda bu numaranın başka biri tarafından kullanılması mümkün değil ve kullanıcı browser penceresini kapatınca da oturum sonlanıyor. böylece bir güvenlik riski oluşmuyor ve de cookie’lerin çalışması engellenmiş bir browser’da bile site düzgün işliyor.
Cookiesiz session nasıl ayarlanıyor derseniz o da şöyle: web.config dosyasını açıp şu düzenlemeyi yapmanız yeterli:
<system.web>
<sessionState cookieless=”true” />
