Question

Содержимое подписанного cookie-файла с Itsdangerous может быть проверено, но не изменено.Есть ли какие-либо известные проблемы безопасности или соображения при использовании Itsdangerous для управления сеансами на стороне клиента?

В рассматриваемом сеансе не будут храниться пароли, но, очевидно, некоторая информация для идентификации пользователя, такая как

ID пользователя
URL-адрес аватара
Роли пользователя

mattbasta · Answer 1 · 03 октября 2012

Если вы не используете тайм-аут в своей подписи, злоумышленник может просто обменять cookie-файл у другого пользователя (или администратора). Идентификаторы сеанса более непрозрачны, что означает, что злоумышленнику нужно будет попробовать каждый из них по очереди, но подписанную строку можно просто проверить на лету (скажем, открытый прокси-сервер).

Проблемы безопасности с Itsdangerous для управления сессиями?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Проблемы безопасности с Itsdangerous для управления сессиями?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы