2

私は数日前にPyramidフレームワークでサイトを立ち上げましたが、パフォーマンス上の理由からpyramid_beakersession.type = cookieを選択しました。したがって、Cookieでuser_idを暗号化すると、次のようになります。

usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int" 
# for example here is encrypted id 1

そして、私がクッキーを代用しようとしたよりも。ID 2でログインしましたが、前のCookieに変更しましたが、ID1で自動的にログインしました。

正常ですか?安全ですか?スーパーアルゴリズムによる暗号化よりも何が必要ですか?それで、一部のウイルスは一部のユーザーのCookieを盗み、そのIDでログインする可能性がありますか?そして、セキュリティはどこにありますか?

誰か説明してもらえますか?ありがとう!

4

1 に答える 1

5

はい、セッションCookieは盗まれたり、ログインしたユーザーになりすますために使用されたりする可能性があります。セッションの寿命を短くしたり、クライアントのIPアドレスに関連付けたりすることで、このリスクをある程度最小限に抑えることができますが、これらは専用のハッカーにとっては単なる障害です。唯一の実際の解決策は、SSLを使用してセッションを完全に暗号化することです。これが、多くの人気のあるサイト(Gmail、Facebookなど)がHTTPSセッションを提供または要求する理由であり、Firefox拡張機能HTTPSEverywhereが存在する理由です。

于 2012-02-14T15:16:18.733 に答える