我有一个应用程序,我在应用程序中经常读取用户对象。我打算缓存用户对象,该用户对象也具有散列凭证(哈希)。客户端只能访问端口HTTPS端口443。在什么情况下攻击者/另一个进程可能会访问我的缓存。
这是一种不好的做法 - 为什么或在什么情况下。
答案 0 :(得分:1)
这取决于你在哪里缓存它。
如果您在memcached中缓存它,网络上的任何进程都可以访问它(根本没有身份验证),那么是的,这是一个问题。
如果您将其缓存在计算机的内存中(共享内存blob等),那么它很好(因为操作系统控件将保护其他用户的内存段)。
如果您在启用身份验证的情况下使用Redis等内容缓存它,那么您就可以了。
简而言之,如果您的缓存已经过身份验证,那就去吧。如果不是(并且网络上的任意用户都可以阅读)那么肯定不会。