@alex_p95
Учусь

Нужно ли шифровать куки?

Здравствуйте! Заранее спасибо за ответы! Вопрос в следующем: нужно ли шифровать куки? Например я записываю в куку айдишник юзера, нужно ли мне его шифровать или нет чтобы не произошла подмена или тому подобное? Еще раз спасибо!
  • Вопрос задан
  • 2652 просмотра
Решения вопроса 1
petermzg
@petermzg
Самый лучший программист
Если у вас будет угнана сессия, т.е. полность скопированы куки, user-agent и т.д. вы ведь все равно не сможете определить произошла подмена или нет.
Просто ID пользователя как идентификатор сессии отдавать нельзя, т.к. в этом случае просто могут попытаться использовать другой ID. А так идентификатор сессии может быть чем угодно, главное чтобы вы смогли с его помощью востановить сессию на сервере. Примеры:
1. Зашифрован ID + useragent. (Плохой вариант если злоумышлиникам станет известен механизм шиврования)
2. Содержит ключ к базе данных (Получив вы можете проверить в базе наличие такой активной сессии и другие данные)
3. Может передаваться еще и токен к сессии, который после каждого запроса меняется. Пришел второй раз, что-то не то.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Зачем ?? это тоже самое, что кэшировать домен, а то вдруг кто узнает. Кукисы можно в браузере менять, только толку? Аутентификации сейчас везде по токену.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Например я записываю в куку айдишник юзера
Зачем?!
Если юзер, значит уже есть сессия.
А если есть сессия - значит параметры юзера сервер уже знает.
Зачем знать их браузеру?!
Храните в серверной сессии всё что нужно после авторизации и всё.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы