Memorizza la chiave di crittografia in $ _SESSION contro $ _COOKIE?

1

Leggendo il tutorial qui: link (scenario # 2)

Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece?

La mia ipotesi:

  • $ _ SESSION è memorizzato nel server
  • $ _ COOKIE è memorizzato nel dispositivo del client (browser)

Modello di minaccia:

  • Contro i dipendenti dei dati di snooping del provider di hosting
  • Contro gli hacker (probabilmente attaccano il server anziché il dispositivo di un utente)

Aggiornamento:

Note per chiarimenti nei commenti per @SteffenUllrich. Di seguito sono riportate le virgolette esatte nel tutorial.

SteffenUllrich: "Dove si trovano i dati crittografati ..."

Alice wants to host Dave's web application, including its database, on her server

SteffenUllrich: "raccomandazione riguardante l'archiviazione della chiave nella sessione .."

save the Key object somewhere safe (like temporary memory-backed session storage)

    
posta IMB 10.09.2016 - 22:29
fonte

1 risposta

1

La cosa importante è che i dati chiave e crittografati non devono essere archiviati nello stesso posto, vale a dire non entrambi sul disco, non entrambi sul lato client (nessun invio di dati crittografati e memorizzazione della chiave nel cookie) ecc. Se i dati crittografati restano sul lato server sia un cookie che un oggetto di sessione in memoria lato server dovrebbero essere abbastanza sicuri. I cookie potrebbero essere anche più sicuri di un oggetto di sessione in memoria lato server perché sono più temporanei, ovvero il client fornirà la chiave se necessario e, se non è necessario, la chiave non sarà affatto presente sul server, nemmeno in memoria.

    
risposta data 11.09.2016 - 17:31
fonte