Справочная информация: Из настольного приложения пользователи перейдут на веб-портал с шифрованием SSL, где им придется вводить имя пользователя / пароль, если они впервые входят в систему. безопасно сохранить их пользовательский сеанс. Я думал об использовании зашифрованных файлов cookie, сохранении их имени пользователя и уникального токена / ключа сеанса, но мне было интересно, какие преимущества предоставляют клиентские сертификаты с точки зрения безопасности.
То, как я вижу, понимает это сейчас:
Зашифрованные куки:
- Сохраняется на компьютере пользователя, как и любой другой файл cookie
- Поскольку весь сайт является SSL, содержимое файла cookie не может быть изменено с помощью
- Легко реализуемо
- Когда пользователь снова входит в систему, аннулирует токен / ключ и выдает новый
Проблемы:
- Любой, кто попытается получить доступ к веб-порталу на компьютере с сохраненным сеансом, сможет, но это проблема любого сохраняемого сеанса, верно?
- Откуда я знаю, что компьютер A - это компьютер A, а не просто компьютер B, который скопировал cookie компьютера A?
Сертификаты клиента:
- боль в заднице для установки
- будет однозначно идентифицировать компьютер этого человека (или он может быть ограничен учетной записью пользователя) для веб-портала
- Если клиентский сертификат украден, то учетная запись взломана
Вопрос: Для продолжительных сеансов пользователей с максимальной безопасностью, будет ли достаточно зашифрованных файлов cookie или мне нужно будет установить клиентские сертификаты? Чем они отличаются?