Я не понимаю, почему мы должны защищать файлы cookie и сеанс, у меня есть файл cookie, который хранит пароль пользователя, имя пользователя, зашифрованный пароль.
У меня есть функция, которая проверяет файлы cookie в любой момент, если информация совпадает с информацией в DataBase, если нет, перенаправляется на страницу входа. однако я не понимаю, с каким риском можно просматривать эту информацию и что он может делать с этой информацией.
Может ли кто-нибудь объяснить мне, что такое риск?
Трудно количественно определить в точном выражении. Во-первых, помните, что файлы cookie передаются между клиентом и сервером в каждом отдельном запросе . Это потенциально много возможностей для кого-то перехватить их. Просто предположите, что куки будут перехвачены кем-то в какой-то момент.
Сохранение имени пользователя, пароля пользователя и (зашифрованного) в файле cookie:
С другой стороны, используя только бессмысленный идентификатор сеанса:
Вкратце: идентификаторы сеанса вообще не имеют поверхности атаки , поскольку они по своей сути бессмысленны. Пользователи, имена и пароли представляют собой очень сочную цель. Именно из этих основных пунктов сеансы должны казаться намного более привлекательными. Предполагая совершенную реализацию с отличной безопасностью, оба должны быть достаточно безопасными. Однако вы не знаете, что у вас есть неуверенность, у вас не будет полной безопасности. Предполагая это, зная это, предпочтительнее простая система с меньшим количеством оговорок.