2

使用:PHP、Symfony 1.4、Doctrine、sfGuard

ページの大部分を完全なHTMLページとしてキャッシュできるサイトがあります。ただし、ほとんどのサイトの右上に表示される従来の「ユーザーアカウントツールバー」があります(ログインしたユーザー名、ログアウトリンクなどが表示されます)。

これにより、ページがHTMLとして完全にキャッシュされないことが明らかになるため、ページを標準HTMLとして出力し、ページの読み込み後にJavascriptを介してユーザー名などを追加する予定です。

ユーザーがログインすると、ユーザー名だけを保存する追加のCookieを作成します。その後、JavascriptはCookieが存在するかどうかを確認し、アカウントツールバーを作成できます。ユーザー名は表示目的でのみ使用されます。実際にログインするには、ユーザーはパスワードなどを使用して通常のログインページを通過する必要があります。

これについてブログ記事などを検索しましたが、あまり見つかりませんでした。誰かがこれに関するセキュリティやその他の懸念を特定できますか?

4

2 に答える 2

1

ユーザー名が表示目的でのみ使用されている限り、あなたは金色である必要があります。または、XHRを使用して、PHPの$_SESSIONからユーザー名を取得することもできます。

私の懸念は、ユーザー名を使用してそのユーザーを認証することになるということです。または、ユーザー名をキーとして使用してキャッシュにアクセスします。ユーザー名を変更すると、攻撃者は別のキャッシュにアクセスできるようになります。

于 2011-01-18T18:59:58.100 に答える
0

機密性の高いものをCookieに保存することは絶対にしないでください。私にとって、これにはユーザー名が含まれます。

于 2011-01-20T19:00:31.023 に答える