我对会话和基于Web的安全认证理论等有很好的理解,所以请不要从基础知识开始,或者给出含糊不清的答案.我不是在寻找最佳实践,因为我知道它们.我正在寻找他们背后的真正风险,使最佳实践成为现实.
我已经阅读并同意这些原则,即在任何给定时间都应该在Cookie中存储会话标识符.
但是...我继承了一个生锈的旧应用程序,它将用户名,密码和其他ID存储在Cookie中,并在整个站点中作为验证/授权进行检查.
此网站始终(只能)通过HTTPS访问,并且根据您的立场,是一个"低风险"网站.
在当前状态下,应用程序不能以处理Sessions的方式重写 - 正确实现这样的事情本质上需要重写整个应用程序.
当提示到,当权者是存储明文的用户的ID /密码,在cookie中,是一个非常糟糕的主意,有什么真正的风险参与,考虑到连接总是发起并通过HTTPS操作?
例如:通过对包含Cookie的机器的物理访问来破坏此信息的唯一明显方法是什么?存在哪些其他真正的风险?
HTTPS只是通过加密通过线路的数据来防止中间人攻击.信息仍然是客户端的纯文本.因此,客户端计算机上的任何内容都可以通过该cookie信息并提取相关信息.
| 归档时间: |
|
| 查看次数: |
791 次 |
| 最近记录: |