我看到许多网站将Cookie数据存储为乱码文本,例如:名为aASFaewqWDRE@fr
的Cookie,其值同样不可读。我一直保持我的cookie可读,但从不将关键数据保存在其中。例如,我创建了一个名为favorite_items
的cookie,其中包含类似14,73,7
的字符串,每个数字都是对产品的引用。
如果我的cookie被盗,攻击者会立即知道该用户的收藏夹中有第14,73和7项。据我所知,这不会以任何方式损害用户帐户(假设我的网站构建良好,并且仅使用此信息无法访问帐户)。
我还没有想过这种做法存在其他安全问题吗?
答案 0 :(得分:0)
我怎么才知道这个问题真的来自合法用户Brian?我怎么知道有人试图绊倒人呢?编码('乱码')您的数据符合安全性(无论出于何种原因)的一般利益 - 这很简单,因为您不知道监控数据的人员或内容。考虑使用亚马逊或主要零售商的帐户,其中存储了客户的信用卡信息。如果要监控的数据,潜在的黑客/恶意程序提取所需信息将非常简单。他可以直接获取信用卡详细信息,也可以只是获取用户名/密码组合。现在,当涉及银行时,它变得非常重要。
但即使在金融交易之外,最好加密您的详细信息以防止您被发送垃圾邮件,或者防止非法使用您的帐户 - 想象您的老板会收到您可能不喜欢的电子邮件。名单是无止境的。最重要的是,那里有很多搞砸的人,如果你能做一些事情来获得额外的保护而不需要额外的费用,那么为什么不呢?
答案 1 :(得分:0)
将明文数据存储在Cookie中有什么危险?
“危险”显而易见。用户(以及可能的其他人!)可以阅读信息,并可能“弄乱”它。
是否重要取决于信息是什么,如何处理cookie以及您担心什么。例如......
如果您正在使用Cookie内容来实现您的网站安全/用户访问控制,那么明确传递信息可以为用户提供额外的一些知识来破坏您的方案...取决于您如何实施它
如果您使用cookie内容获取用户可能认为敏感的信息,那么通过HTTP连接传递“清除”cookie会使其容易受到一些可以窥探数据包的坏人的攻击。 (实际上,鉴于HTTPS“并不像我们所认为的那样安全”......这可能全面适用!)
如果您使用Cookie跟踪用户......或者其他用户可能不喜欢您做的事情......好吧,去看看吧!
但严重的是,您的问题强烈建议您需要了解更多,了解如何解决网站/ webtool实施中的安全和隐私问题。
首先,简单地“乱写”信息是不够的。任何轻量级的“花边”方案都可以轻松进行逆向工程。如果您关心安全/隐私,则应使用具有正确处理密钥的强加密来加密信息......或者首先不将其存储在cookie中。 (阅读有关在服务器端存储与会话相关的信息的方案。)