ユーザーのコンピュータにアクセスすると、ハッカーが保存されたパスワードでログインできるように、ハッシュパスワードをCookieに保存するセキュリティリスクについては、多くの議論があります。ハッカーがユーザーのコンピュータにアクセスできる場合、ブラウザはパスワードをローカルに保存する(もちろん暗号化されている)ので、パスワードをキャッチすることもできます。クッキーに設定されたパスワードとブラウザによって保存されたパスワードの違いは何ですか?ハッシュされたパスワードをCookieに保存するのは本当に危険ですか?
明白な理由から、パスワードの代わりに一時的なGUIDを送信する必要があります。いずれにせよ、私は、ログに記録されたIPへのアクセスを制限することで、攻撃者がローカルに保存されたGUIDを使用する可能性があると考えています。もちろん、IPは通常動的で定期的に変化するため、ログに記録される期間の長さを制限します。私はそれがその顕著なセキュリティの価値があると思います。何か案が?
ハッシュパスワードを安全にする唯一のことは、サーバー上でハッシングが発生することです。 –
私はあなたが何を意味するのか知っています。ここでハッシュされたパスワードまたはGUIDの目的は長期間を行うことです。試行錯誤攻撃の場合は変更できません。 – Googlebot
** [セッショントークンとしてGUIDを使用しないでください。](http://stackoverflow.com/questions/7732540/unpredictable-unique-identifier/7733025#7733025)** – Brian