Задать вопрос
@alehano

Можно ли использовать шифрованные Cookie для хранения сессий?

Есть идея использовать зашифрованные подписанные (HMAC) Cookie для хранения сессии пользователя на стороне клиента. Есть проблема безопасности, когда злоумышленник, зная ключ, может создать Cookie для любого пользователя. Но эту проблему можно обойти если вместе с id пользователя в Cookie хранить часть от хеша пароля пользователя. Таким образом, максимум, что может злоумышленник - взломать одного пользователя.
Какие могут быть недостатки у этого метода?
  • Вопрос задан
  • 448 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
w999d
@w999d
Web-developer
0_о
у вас id куки не рандомные, а по ключу? это уязвимость, да...
Если данные сессии хранятся - то потеря ключа - это уязвимость сама по себе, остальные - следствие.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы