标签: security server session-cookies websecurity
当您在后端上创建签名/加密/ HMACd cookie以便发送给客户端时,您实际上如何保护用于创建cookie的后端的秘密密钥(或私钥),以最大程度地减少事件的暴露后端折衷方案?许多人只是拥有配置文件中的密钥,以便在服务器内存中以纯文本格式提供该密钥,并根据需要对cookie进行签名/加密。但是,这可以在Web服务器受到攻击的情况下轻易地泄露容易受到攻击的秘密。
在这种情况下有哪些好的做法?使用HSM不切实际,但也许是Intel SGX安全区域?非常感谢您的想法。