cookie が base64 でエンコードされた配列コンテンツで構成され、その後にサーバーだけが知っている長い session_secret でソルトされたそのコンテンツの SHA1 ハッシュが続く (と私は信じています) という戦略は、どの程度安全ですか? 私が理解しているように、ハッシュは、クライアントがクッキーの内容を改ざんするのを防ぐための署名です。このシステムは安全ですか? 特に、攻撃者は session_secret にアクセスせずに署名を偽造する方法を見つけ出すことができますか? その他の脆弱性はありますか?
1 に答える
0
SHA1には既知の脆弱性があるため、それを使用する場合はお勧めしません。理論的には、これを悪用して署名を偽造することができます。
于 2012-08-23T21:40:31.517 に答える