Ho un sito web (per hobby) che funziona solo su SSL. Il sito non si occupa di finanze, numeri di previdenza sociale o qualsiasi cosa di quel livello di importanza. Tuttavia, mi piacerebbe assicurarlo il più ragionevolmente possibile. I cookie sono contrassegnati come sicuri e httponly. Le password sono memorizzate sul lato server usando bcrypt.
Sto cercando di implementare "ricordami" per quegli utenti che vogliono usarlo. Leggendo questo sito, so che non vuoi memorizzare una password in un cookie; piuttosto, si desidera memorizzare un "token" che consente un utilizzo non critico, ma quindi richiedere la password effettiva per le azioni critiche (ad es., cambiare la password).
Invece di generare casualmente un token, quindi creare un database (o un altro metodo) di corrispondenza, è troppo insicuro usare il sale generato a caso da bcrypt come il token nel cookie?
I vantaggi sono:
- Generato durante l'hashing della password, quindi nessun costo aggiuntivo o codice
- Memorizzato con password, quindi può trovare e corrispondere se necessario
- Unique
Gli svantaggi possono essere:
- Il token non cambia da sessione a sessione
Se il cookie viene in qualche modo rubato, consente solo l'accesso non critico al sito. Cioè, non rivela la password attuale, la password non può essere cambiata, l'e-mail associata all'account non può essere cambiata.
Sto trascurando qualcosa di serio nello schema precedente?