我打算将登录用户的某些敏感数据存储到http cookie中。我使用AES / CBC / PKCS5PADDING,密钥是256位来加密我的cookie。我的问题是有人有机会看到我的实际cookie数据(包含一些敏感数据)。任何人都可以在Web应用程序是公共访问的真实单词中执行此操作。我的cookie是99.99%受保护的吗?谢谢!
答案 0 :(得分:1)
无法确定算法在特定系统中的安全性。众所周知,AES / CBC有助于创建机密性。但这并不意味着系统是安全的。例如,可能是填充oracles应用,在这种情况下,每个明文字节可以通过平均128次尝试找到。
答案 1 :(得分:1)
我建议你阅读:http://www.cs.berkeley.edu/~daw/teaching/cs261-f12/misc/if.html,其中列出了为什么只是加密数据不足,而且还需要身份验证。