machetero
@machetero
gotlib.me

Безопасность кук?

Ставить куку с именем admin или is_admin я думаю даже обсуждать не стоит. Ставить куку user_id для идентификации пользователя тоже как то стрёмно. Как вообще правильно защититься от атак с подбором значения кук ? Понятно, что кто угодно может слать запросы с кукой user_id = 1, а этот юзер это например админ.
  • Вопрос задан
  • 142 просмотра
Решения вопроса 1
@kirill-93
Куки должны быть зашифрованы. Вместо user_id = 1, должно быть что-то вроде user_id = eyJpdiI6ImoremQwVmF5UlVzVHFtNTFKY1wvMGFRPT0iLCJ2YWx1ZSI6IjYzUnNsdlpQTkJIeTdPZUtDeTNCQnNPdUJBTytzdHpuZGVNRWhzTEZrak5FRG82WkE5b01KelhnajhZd3ltRXBxMldmaXZRWXVWQ1IrN3h4UGhWMWtHSjhNZ20rOUpMUVwvNVNNTkJicFZ1TT0iLCJtYWMiOiIxZTI4YjExY2JmNjliYTEzMGY1ODUzODY2Mjc2ZTg3NmI3YTBkMTY0MGQwZjI1Y2YwNGQ3ZmZkZjBhNTY5NTczIn0%3D
И пусть подбирают на здоровье.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Sanasol
@Sanasol Куратор тега PHP
нельзя просто так взять и загуглить ошибку
В куках не надо хранить такие данные, с тем же успехом можно базу открыть всем.
Авторизация по сессии должна быть, вот и всё.
Ответ написан
Комментировать
@oxidmod
добавлю, что сессионный куки надо ставить с флагом http-only
Ответ написан
Комментировать
@Fenix957
userid = xxx
cachepass= md5(md5(pass))
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
17 янв. 2022, в 05:20
2000 руб./за проект
17 янв. 2022, в 04:50
1000000 руб./за проект
17 янв. 2022, в 02:06
1000 руб./в час