Задать вопрос
@alehano
веб-разработка

Можно ли использовать шифрованные Cookie для хранения сессий?

Есть идея использовать зашифрованные подписанные (HMAC) Cookie для хранения сессии пользователя на стороне клиента. Есть проблема безопасности, когда злоумышленник, зная ключ, может создать Cookie для любого пользователя. Но эту проблему можно обойти если вместе с id пользователя в Cookie хранить часть от хеша пароля пользователя. Таким образом, максимум, что может злоумышленник - взломать одного пользователя.
Какие могут быть недостатки у этого метода?
  • Вопрос задан
  • 448 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
w999d
@w999d
Web-developer
0_о
у вас id куки не рандомные, а по ключу? это уязвимость, да...
Если данные сессии хранятся - то потеря ключа - это уязвимость сама по себе, остальные - следствие.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Fullstack PHP Developer
Smapse Education
от 40 000 до 65 000 ₽
Fullstack разработчик (React, JavaScript, PHP, SQL), веб программист.
CleanTalk
от 1 700 $
Ещё вакансии
Заказы с Хабр Фриланса
Парсер
04 мая 2024, в 03:57
10000 руб./за проект
Создать значок/обложку для видео Ютуб
04 мая 2024, в 01:47
2000 руб./за проект
Tensorflow + аппаратный ускоритель нейронок. Embedded linux приложение
04 мая 2024, в 00:43
25000 руб./за проект
Ещё заказы