Perché la memorizzazione dei nomi utente nei cookie è errata? [duplicare]

Naviga le tue risposte
0

A comunemente ripetuto consiglio sul Web non è quello di memorizzare i nomi utente nei cookie.

Tuttavia, non capisco davvero il problema. Quello che sto facendo nella mia applicazione web è: Genero un ID di sessione casuale da 16 byte (convertito in esadecimale a 32 bit) generato da un CSPRNG e memorizzo il nome utente e questo ID di sessione nei cookie.

Inutile dire che l'esistenza dell'ID sessione e la sua correlazione con l'utente vengono verificati da un database prima di eseguire qualsiasi azione nell'applicazione web. Lo sto facendo per accelerare un po 'l'accesso al database e per proteggerlo dal problema delle collisioni, in cui un utente potrebbe trovarsi autorizzato come utente diverso a causa di una collisione accidentale.

Qual è la debolezza in questo schema?

    
posta user2064000 20.05.2016 - 20:24
fonte

1 risposta

1

Le persone che dicono che sono confusi. È necessario non fidarsi ciecamente dei dati memorizzati nei cookie per operazioni importanti, ma la memorizzazione di informazioni non riservate (e il nome utente non è riservato) in un cookie per comodità va bene. Basta non usarlo per le decisioni di sicurezza senza prima convalidarlo.

Quindi, memorizzando il nome utente in un cookie per dire "Benvenuto Alice, per favore accedi." è ok. Ma fidando che l'utente è Alice solo perché un cookie dice che non lo è. In tal caso, sarebbe troppo facile per Mallory impostare il proprio cookie su "Alice" e accedere all'account di Alice.

    
risposta data 20.05.2016 - 23:42
fonte

Leggi altre domande sui tag

certificati X509 / SSL in pratica È possibile utilizzare CSP per un video player basato su Javascript?