Что нужно хранить в сеансе и что в cookie?

Question

Мне интересно, существуют ли какие-либо рекомендации или рекомендации по использованию сессий и файлов cookie? Что должно и что не должно храниться в них? Благодаря!

Answer 1

Эти документы хорошо читаются по проблемам безопасности с сеансом куки, и как обойти их.

• Secure Session Management With Cookies for Web Applications
• Hardened Stateless Session Cookies

Таким образом, вы держите секретный ключ на сервере. С помощью этого ключа вы можете вычислить безопасный хэш по секретному ключу, метку времени и любые данные, которые вы хотите в cookie. Вы включаете безопасный хэш, отметку времени и данные в файле cookie.

Когда вы получаете запрос, вы можете подтвердить, что получите ожидаемую подпись. Так что никто не подделывал содержимое печенья.

Answer 2

Только данные, идентифицирующие пользовательские предпочтения, связанные с сеансом и не относящимися к безопасности.

Основным правилом написания защищенных приложений является то, что враждебная сторона может легко модифицировать данные, прежде чем возвращать их вам. Поэтому вы не должны предполагать, что любые значения, представленные от клиента, безопасны для использования без проверки. Стандартный метод заключается в том, чтобы хранить данные на сервере и только обменивать ключ, сконструированный таким образом, чтобы вы могли проверить его модификацию. (Т. Е. Не использовать идентификатор пользователя или номер учетной записи, поскольку враждебный клиент может систематически манипулировать таким значением, чтобы попытаться получить данные от других пользователей или сеансов.)