cookies - 高效、安全的 cookie 身份验证和使用

Question

我继承了一个 coldfusion 应用程序。代码很旧(想想 Allaire 时代)，我一直在慢慢升级它。最近，我们经历了渗透测试，在很多地方都失败了。目前我的重点是登录功能，特别是如何存储和使用 cookie。我们最近在 Windows 上升级到 CF 2018。

该网站目前只能通过 RDS 访问，但在不久的将来将可通过通用网络访问。

目前，代码在登录时设置了一个“rememberme”cookie，如下所示，使用了一堆混淆。我认为这是从 Ben Nadel 的例子中借来的:https://www.bennadel.com/blog/1213-creating-a-remember-me-login-system-in-coldfusion.htm

<cfset strRememberMe = (
        CreateUUID() & ":" &
        SESSION.User.ID & ":" &
        SESSION.User.Name & ":" &           
        SESSION.User.Billing & ":" &            
        SESSION.User.Admin & ":" &          
        SESSION.User.Reversals & ":" &          
        CreateUUID()
        ) />

<cfset strRememberMe = Encrypt(
        strRememberMe,
        APPLICATION.EncryptionKey,
        "cfmx_compat",
        "hex"
        ) />

<cfcookie
        name="RememberMe"
        value="#strRememberMe#"
        expires="never"
        httponly="true" <!--- Set in CFAdmin so not reqd here --->
        />

此 cookie 中包含多个用户权限，将用户标记为能够访问网站的某些部分和/或执行某些功能。

我想将任何不必要的数据完全保留在 cookie 之外，也许只保留用户 ID。可能在 application.cfc onRequest() 方法中进行检查以检查 cookie 并查询数据库，然后设置与用户权限相关的 session 变量。目前，application.cfc onSessionStart() 从 cookie 中解析用户权限以创建 session 范围的变量。我看到在 cookie 中只有原始用户 ID 的问题是用户 ID 很容易被猜到，因此可能仍然需要某种类型的混淆或加密。

我从阅读中了解到 cfmx_compat 提供弱加密。

我正在寻找最干净、最有效的方法来保护 cookie 免受任何类型的第三方或 MITM 滥用/攻击，并在应用程序中使用它。我已经阅读了互联网上关于此的几乎所有内容，人们正在做和建议不同的事情。我的大脑现在充满了想法。我不想花哨，只要有效。

该网站目前没有 SSL 或 TLS，但很快就会实现，这应该有助于安全方面的事情。

Answer 1

记住我与普通登录​​凭据一样具有相同的安全问题。不要包含任何敏感信息，而是将所有其他数据保存在数据库中，并且只有在用户通过身份验证后才能访问它。

在 cookie 中，有一种方法可以识别用户和具有足够长度/熵的 secret 。 secret 应该在数据库中散列(例如:bcrypt)，所以如果有人看到你的数据库，他们不能简单地发送 cookie 中的数据以作为任何用户进行身份验证。您可以在 cookie 中包含用户名，或为每个用户创建一个随机字符串以供替代。

您还有其他顾虑或问题吗？