1

ブラウザの互換性は気にしません。

自分の状態をPHP制御(サーバー側)セッションからJavaScript制御(クライアント側)HTML 5ローカルストレージに移動するかどうかを知りたいのですが、セキュリティが向上するか、失われるかを知りたいです。

ユーザーIDをCookie(通常はファイル、または簡単にアクセスできるSQLデータベース)に常駐させる代わりに、ある種の内部ブラウ​​ザーストレージ内にないため、セキュリティが確保されると思います。+ bcこれは新しいテクノロジーであり、より多くのセキュリティが設計されていることを願っています。

PHPセッションからJavaScriptローカルストレージに移行することでセキュリティを獲得または喪失しますか?(これは、ユーザーID、page_idなど、リロード後も必要に応じて長く残る現在の状態の場合です)。

PHPセッションを置き換えたいJavaScriptソリューションがあります。そういうわけで私は尋ねます。ブラウザの互換性は気にしません。

これがローカルストレージに関する有益なサイトです。しかし、セキュリティについては言及されていません。

4

4 に答える 4

2

どちらのタイプのローカルストレージ(localStorageとCookies)も、明らかにクライアントに保存されているある種の識別子を使用します。

どちらもハッシュメカニズムを使用して、別のユーザーに変更されないように保護します。

ローカルストレージはCookieよりも安全です(ここを参照)。

また、ユーザー識別子をCookieからlocalStorageに移動する場合は、明らかにセッションプロトコルを作成する必要があります。

どちらも盗まれて、別のユーザーになりすますことができます。localStorageでは可能性は低くなりますが。

そして、堅牢にするためには、上記の問題に役立つフィンガープリント技術が必要です。

于 2012-07-23T17:59:54.523 に答える
1

PHPセッションを置き換えたいJavaScriptソリューションがあります。

いいえ、しないでください。セッションはサーバー側に保存されます。ブラウザに送信されるCookieは、通常、そのレコードの識別子です。セッションはユーザー固有のデータを保存します。クライアント側に保存されているほとんどすべてのものは、ユーザーが簡単に変更できます。したがって、ユーザーが別のユーザーを指すようにセッションを変更すると、セキュリティは保持されなくなります。

LocalStorageはセッションを保存するためのものではありません。PHPセッション、またはサーバー側に実装されているその他のセッションメカニズムを使用します。

アップデート

しかし、同じセキュリティ上の欠陥が存在します...ユーザーは1人でログインできます...セッションのsession_idをいじって、他の誰かになることができます...session_idをいじる...あなたが誰であるかをいじるのと同じですサーバーに?...これは、local_storageで暗号化されたuser_idをいじるのと同じです。

いいえ。暗号化するアルゴリズムを理解したとします。そして、私は別のユーザーがUserBと言っていることを知っています。私はそのアルゴリズムを使用して彼のユーザー名を暗号化しました。どういうわけかlocalStorageをその暗号化された文字列で上書きすると、私は彼になります。それは実際にはあまり不可能です。100人のユーザーがいて、128バイトの文字列が識別子であると考えてください。それをいじって、セッションのテーブルに存在する別のレコードに変更できると確信していますか?

于 2012-05-31T14:19:07.400 に答える
0

Local storage is best suited for data that you want to cache on the client in a (more permanent) way then with the regular browser cache. The only way it's "more secure" is if you want to allow the user to work with data that's never sent to the server.

If you're worried about session hijacking, the preferred solution would be to use https/ssl and encrypt all traffic between you and the client. There's a general overview of the problem and solutions on wikipedia (we'd need more information to give you anything much more specific than that, though).

于 2012-05-31T14:47:43.903 に答える
0

ほとんどのブラウザでは、サイトによって設定されたすべてのデータが同じフォルダに保存されているため、セキュリティが向上したり失われたりすることはありません。

于 2013-07-11T21:42:36.127 に答える