【发布时间】:2011-12-23 20:38:27
【问题描述】:
带有 Itsdangerous 的已签名 cookie 的内容可以检查但不能更改。 使用Itsdangerous 进行客户端会话管理时是否存在任何已知的安全问题或注意事项?
有问题的会话不会存储任何密码,但显然是一些用于识别用户的信息,例如
- 用户 ID
- 头像的网址
- 用户角色
【问题讨论】:
标签: python security session cryptography client-side
【发布时间】:2011-12-23 20:38:27
【问题描述】:
如果您没有在签名上使用超时,攻击者可以简单地从另一个用户(或管理员)换出 cookie。会话 ID 更加不透明,这意味着攻击者需要依次尝试每个会话 ID,但可以动态检查已签名的字符串(例如,打开的代理服务器)。
【讨论】:
-
在 REST API 端点的一种方法中,签名字符串由服务器在登录时使用密码提供,然后在每个请求中与用户 ID 一起发送,并且有效期为 X小时。签名的字符串也存储在服务器上。注销时,该字符串将从服务器中删除。这样,字符串(令牌)可以用作 2 小时的临时密码(如果有注销,则更少)。