我讀過一些關於SO的文章和問題(例如here),他們說您不應該將用戶的密碼存儲在cookie中。如果密碼被醃漬和散列,爲什麼這種不安全?在cookie中存儲(散列)密碼安全嗎?
特別是,爲什麼它比使用會話更安全,通常會提出替代方案?如果用戶想要保持登錄狀態那麼肯定這個新的cookie(帶有會話ID /散列)與使用用戶密碼的cookie一樣安全?如果cookie在某些方面「被盜」,攻擊者可以以相同的方式作爲用戶登錄。
編輯:問題的主要癥結在於關於用戶保持登錄狀態的部分,即通過「記住我嗎?」。複選框。在這種情況下,當然只有一個會話?
但是,如果用戶想永久保持登錄狀態,那肯定無關緊要嗎?目前只會舉行一次會議。 – DisgruntledGoat
不一定。這當然是實現它的最簡單的方法,但不是唯一的方法。例如,你可以有一個旋轉的會話密鑰。如果有人偷了一個,他們可能會得到下一個,但是這會將原先的用戶踢出去,然後誰會重新登錄,並且你的攻擊者再次處於寒風中。 –