Securitydangerous用于会话管理的安全问题?

时间:2011-11-07 18:24:29

标签: python security session cryptography client-side

可以检查带有Itsdangerous的签名cookie的内容,但不能更改。 使用Itsdangerous进行客户端会话管理时是否存在任何已知的安全问题或注意事项?

有问题的会话不会存储任何密码,但显然会有一些信息来识别用户,例如

  • 用户ID
  • 头像的网址
  • 用户角色

1 个答案:

答案 0 :(得分:1)

如果您没有在签名上使用超时,攻击者可以简单地从其他用户(或管理员)换出cookie。会话ID更不透明,这意味着攻击者需要依次尝试每个会话ID,但是可以即时检查签名字符串(例如,开放代理服务器)。