У меня мало вопросов по обеспечению безопасности сессий и файлов cookie.Обеспечение безопасности и печенья
- Сессия, являющаяся временным файлом на сервере, удаляется при закрытии браузера. Я считаю, что непростой задачей является нарушение сеанса. Более того, все учебники и документации, которые учат секрету защиты, говорят о защите файлов cookie, поэтому я могу предположить, что, когда мы используем только сеансы, срок действия которых истекает на выходе браузера, не требует специальных методов обеспечения безопасности сеанса. Если да, то что мы можем использовать для обеспечения безопасности?
- Cookies действительно нуждаются в внимании при использовании функций автоматического входа. Мы можем включить строгий режим для дополнительной безопасности, который отвергает неинициализированные сеансы. Не используются файлы cookie в неинициализированных сеансах автоматического входа.
- При использовании автоматического входа в систему я думаю о том, чтобы безопасно защищать cookie, регенерируя идентификатор сеанса, а затем хэшируя его с помощью sha512, будут ли эти безопасные куки?
Сессия на стороне сервера не обязательно является файлом. Он не удаляется при закрытии браузера. –
Что касается 3, это ничего не помогает, так как в следующий раз, когда пользователь попадает на ваш сайт, у них будет новый идентификатор сеанса, поэтому любая информация о предыдущем идентификаторе сеанса бесполезна. – rpkamp