1
危険な状態の署名済みのCookieの内容は検査できますが、変更はできません。 Itsdangerousをクライアント側のセッション管理に使用する際に、既知のセキュリティ上の問題または考慮点はありますか。このよう セキュリティに関する問題は、セッション管理にとって危険ですか?
- ユーザーID
- URLとして
問題のセッションは、任意のパスワードを保存しませんが、ユーザーを識別するために、明らかにいくつかの情報、
危険な状態の署名済みのCookieの内容は検査できますが、変更はできません。 Itsdangerousをクライアント側のセッション管理に使用する際に、既知のセキュリティ上の問題または考慮点はありますか。このよう セキュリティに関する問題は、セッション管理にとって危険ですか?
問題のセッションは、任意のパスワードを保存しませんが、ユーザーを識別するために、明らかにいくつかの情報、
シグネチャでタイムアウトを使用していない場合、攻撃者は別のユーザー(または管理者)からクッキーを簡単に取り替えることができます。セッションIDはより不透明であり、攻撃者がそれぞれを試してみる必要がありますが、署名された文字列をオンザフライで(つまりオープンプロキシサーバー上で)検査することができます。
REST APIエンドポイントへの1つのアプローチでは、署名された文字列は、ログイン時にパスワードでサーバーによって提供され、ユーザーIDと共に各要求時に送信され、有効期限はX時間です。署名された文字列もサーバーに格納されます。ログアウトすると、文字列はサーバーから消去されます。そうすれば、文字列(トークン)は2時間の一時パスワードとして機能します(またはログアウトがある場合は少なくなります)。 – Soferio