Неправильная практика кэширования учетных данных хэша пользователя на сервере

Question

У меня есть приложение, в котором я довольно часто читаю пользовательский объект в приложении. Я планирую кэшировать пользовательский объект, который также имеет свои хэшированные учетные данные (хэшированные). Клиент имеет доступ только к порту HTTPS порта 443. В каком сценарии злоумышленник/другой процесс потенциально может получить доступ к моему кешу.

Это плохая практика - почему или в каких случаях.

Answer 1

Это зависит от того, где вы его кешируете.

Если вы кэшируете его в memcached, где любой процесс в сети может получить к нему доступ (аутентификации вообще нет), то да, это проблема.

Если вы кешируете его в памяти на компьютере (общий объем памяти и т. Д.), Тогда это нормально (поскольку элементы управления ОС защищают сегмент памяти от других пользователей).

Если вы кешируете его, используя что-то вроде Redis с включенной аутентификацией, тогда вы в порядке.

Короче говоря, если ваш кеш аутентифицирован, то идите на него. Если это не так (и открыто для любого произвольного пользователя в сети, чтобы читать), то, безусловно, нет.