私のサイトでは、ユーザー名やパスワードなどのログイン資格情報をブラウザのCookieに保存するCookieベースの認証システムを使用しています。それは悪い習慣ですか?もしそうなら、これはどのようにセキュリティへの脅威になる可能性がありますか?
質問する
91 次
1 に答える
1
これは間違いなく悪い習慣です。機密情報を Cookie に保存しないでください。この情報はユーザーのマシン上でプレーン テキストでアクセスでき、改ざんされて不正なデータでアプリケーションに送り返される可能性があります。これは常に、セッション変数に格納するか、データベースに永続的に格納する必要があります。
アプリケーションが適切に機能するために重要または機密性の高いものは避ける必要があります。レイアウト、色、最後に表示したページなど、ユーザー エクスペリエンスを向上させるためのものを保存できます。また、パスワードを介して送信時に認証する限り、ユーザー名を保存して、「Remember Me」の種類のログインを提供することもできます。
于 2012-09-14T16:32:28.737 に答える