Задать вопрос
@alehano
веб-разработка

Можно ли использовать шифрованные Cookie для хранения сессий?

Есть идея использовать зашифрованные подписанные (HMAC) Cookie для хранения сессии пользователя на стороне клиента. Есть проблема безопасности, когда злоумышленник, зная ключ, может создать Cookie для любого пользователя. Но эту проблему можно обойти если вместе с id пользователя в Cookie хранить часть от хеша пароля пользователя. Таким образом, максимум, что может злоумышленник - взломать одного пользователя.
Какие могут быть недостатки у этого метода?
  • Вопрос задан
  • 448 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
w999d
@w999d
Web-developer
0_о
у вас id куки не рандомные, а по ключу? это уязвимость, да...
Если данные сессии хранятся - то потеря ключа - это уязвимость сама по себе, остальные - следствие.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Fullstack разработчик для веб-проектов
Asphera Tech
от 25 000 ₽
Fullstack разработчик (JavaScript, PHP, SQL), веб программист.
CleanTalk
от 1 800 $
Разработчик Drupal ( программист php 7 )
IT House
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Требуется консультация по UX-дизайну казино
24 нояб. 2024, в 01:35
5000 руб./за проект
Расширение для браузера
24 нояб. 2024, в 01:24
500 руб./за проект
Создать сервер VPS через wireguard
24 нояб. 2024, в 00:04
5000 руб./за проект
Ещё заказы