gpt4 book ai didi

cookies - 当通过 https 连接时,将用户密码存储在 Cookie 中有什么风险?

转载 作者:行者123 更新时间:2023-12-01 07:12:07 25 4
gpt4 key购买 nike

一张纸条

我对sessions、基于web的安全认证等理论非常了解,所以请不要从基础开始,也不要给出模棱两可的答案。我不是在寻找最佳实践,因为我知道它们。我正在寻找它们背后的真正风险,使最佳实践成为它们。

我已阅读并同意以下原则:在任何给定时间,在 Cookie 中只应存储 session 标识符。

故事

但是...我继承了一个生锈的旧应用程序,该应用程序将用户名、密码和附加 ID 存储在 Cookie 中,在整个站点中作为验证/授权进行检查。

该站点始终(只能)通过 HTTPS 访问,并且根据您的立场,它是一个“低风险”网站。

应用程序在其当前状态下不能以处理 session 的方式重写 - 要正确实现这样的事情,本质上需要重写整个应用程序。

问题

当向权力机构建议以明文形式将其用户的 ID/密码存储在 Cookie 中是一个非常糟糕的主意时,考虑到连接始终是通过 HTTPS 发起和操作的,这会带来什么真正的风险?

例如:是否是通过物理访问包含 Cookie 的机器来破坏此信息的唯一明显方法?还存在哪些其他真正的风险?

最佳答案

HTTPS 只是通过对通过线路传输的数据进行加密来防止中间人攻击。该信息在客户端上仍为纯文本形式。因此,客户端计算机上的任何内容都可以通过该 cookie 信息并提取相关信息。

关于cookies - 当通过 https 连接时,将用户密码存储在 Cookie 中有什么风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1757803/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com