Leggendo il tutorial qui: link (scenario # 2)
Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece?
La mia ipotesi:
- $ _ SESSION è memorizzato nel server
- $ _ COOKIE è memorizzato nel dispositivo del client (browser)
Modello di minaccia:
- Contro i dipendenti dei dati di snooping del provider di hosting
- Contro gli hacker (probabilmente attaccano il server anziché il dispositivo di un utente)
Aggiornamento:
Note per chiarimenti nei commenti per @SteffenUllrich. Di seguito sono riportate le virgolette esatte nel tutorial.
SteffenUllrich: "Dove si trovano i dati crittografati ..."
Alice wants to host Dave's web application, including its database, on her server
SteffenUllrich: "raccomandazione riguardante l'archiviazione della chiave nella sessione .."
save the Key object somewhere safe (like temporary memory-backed session storage)