Задать вопрос
@alehano
веб-разработка

Можно ли использовать шифрованные Cookie для хранения сессий?

Есть идея использовать зашифрованные подписанные (HMAC) Cookie для хранения сессии пользователя на стороне клиента. Есть проблема безопасности, когда злоумышленник, зная ключ, может создать Cookie для любого пользователя. Но эту проблему можно обойти если вместе с id пользователя в Cookie хранить часть от хеша пароля пользователя. Таким образом, максимум, что может злоумышленник - взломать одного пользователя.
Какие могут быть недостатки у этого метода?
  • Вопрос задан
  • 450 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    Веб-разработчик с нуля: профессия с выбором специализации
    14 месяцев
    Далее
  • Skillfactory
    Профессия Веб-разработчик
    12 месяцев
    Далее
  • Академия Eduson
    FullStack-разработчик: тариф PRO
    14 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 1
w999d
@w999d
Web-developer
0_о
у вас id куки не рандомные, а по ключу? это уязвимость, да...
Если данные сессии хранятся - то потеря ключа - это уязвимость сама по себе, остальные - следствие.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Web-разработчик/WordPress программист (Full-stack)
JustBusiness Санкт-Петербург
от 130 000 до 150 000 ₽
Фронтенд разработчик (Frontend developer)
Айдис
от 100 000 ₽
React разработчик
ITK academy Нижний Новгород
от 50 000 до 90 000 ₽
Ещё вакансии