php - 如何在 PHP 中安全地存储包含敏感数据的 cookie？

Question

我希望我的用户在登录我的网站时具有“保持登录状态”的功能。根据这篇文章的最佳答案的建议，"Keep Me Logged In" - the best approach ，我决定在一个 cookie 中对用户的 salt 和密码的组合进行哈希处理，并将用户的 id(一个数字)存储在另一个 cookie 中。当然，哈希值也会存储在服务器端的数据库中，以供用户再次返回时进行验证。我使用的 salt 值与我在用户首次注册时用于散列用户密码的值相同，因此它是静态的 - 它不会在 session 之间改变。我发现这种方法存在一些问题。

1) 如果它是静态的，使用注册盐是个好主意还是我应该每次为 cookie 生成不同的盐？

2) 如果有人获得cookies的访问权限，然后将它们复制到另一台计算机上，然后尝试从该计算机访问该网站，理论上，它会自动登录到该用户的帐户，这不是一个安全问题？

3) 在一些怀有恶意的用户想要访问数据库的情况下，安全网站会使用加盐和散列密码，使黑客很难访问多个帐户(如果有的话)。但是，通过简单地使用散列值和盐值并创建一个与他们在数据库中更改的值相匹配的 cookie，他们可以有效地访问他们想要的任何帐户，从而使整个密码散列过程变得毫无用处。因此，我现在使用的这种 cookie 方法正在危害我的整个数据库和我所有用户的帐户。

所以我的问题是，如何在 PHP 中存储带有敏感信息(例如用户密码的哈希值)的 cookie，而不必担心上述问题？当然，像 Gmail 和 Hotmail 这样提供“让我保持登录状态”功能的网站采用了比我现在所做的更安全的方法，那么他们会怎么做呢？

Answer 1

不要将密码存储在 cookie 中，无论是否经过哈希处理。事实上，没有理由在 cookie 中存储任何敏感内容。您需要做的就是将一个 128 位(或更大)的随机 ID 映射到数据库中的用户帐户，并将该 ID 存储在 cookie 中。没有人会通过远程暴力猜出有效 ID，尤其是在您设置了锁定的情况下。

If someone were to gain access to the cookies and they copy them to a different computer, and then try accessing the website from that computer, theoretically, it will automatically log them in to that user's account, is this not a security issue?

是的。这是该功能的缺点。但是，如果您的网站检测到新的 IP 地址(特别是来自不同国家/地区)并需要第二步(将代码发送到移动设备等)，那么您需要解决这个问题以及密码被盗的一般问题。 (这当然无助于防止本地网络攻击，例如不安全的公共(public) wifi。)

一个更方便的解决方案是要求“记住我”cookie 使用 SSL。这样黑客就永远不会看到纯文本传输中的 cookie，并且可能需要进行本地攻击。 (如果是这样，记住我的 cookie 可能是用户最不关心的问题。)

they can effectively get access to any account they want, rendering the whole password-hashing process as useless.

是的，也不是。如果您使用我描述的技术(随机 ID)，那么他们只能访问具有“记住我”cookie 的帐户。但话虽如此，如果他们可以访问您的数据库，他们就可以暴力破解他们想要的任何帐户。如果密码本身很弱，即使是加盐密码也很容易在本地破解。

此外，您可以将“记住我”登录视为半登录。访问购买东西，更改电子邮件地址等，仍然需要输入密码。可以在没有密码的情况下做一些无害的事情，比如在留言板上发帖。

最后，请注意 PHP session cookie 只不过是一个临时的“记住我”标记!这在很大程度上适用于 session 劫持的概念。 “记住我” token 只是增加了一个更大的机会窗口。

简而言之:不要在 cookie 中存储任何敏感信息，cookie 需要 SSL，如果可能，实现多因素身份验证……尤其是对于管理员帐户。