나는 응용 프로그램의 웹 전용 서버로 작동하는 컴퓨터를 사용하고 있습니다. 나는 보안 나에게 기능을 기억하고 개발하고자하는안전한 "내 계정 정보 기억"기능을위한 쿠키와 세션 비교
(그래서 세션이 공유되지 않습니다) 그리고 난 그것을 할 수있는 가장 좋은 방법이다 궁금 해서요 :
- 세션이
- 쿠키
쿠키를 사용하여 사용자 암호를 암호화하고 일부 소금을 만들고 데이터베이스에 일부 필드를 추가해야합니다. (자세한 내용은 here 또는 here)
이 경우 세션을 오래 사용하도록 구성하는 것이 더 간단하지 않습니까?
감사합니다.
세션이 공유되지 않으면 오류가 발생하거나 보안 위험이 발생할 수 있습니다 ... 기술적으로 해커가 현재 모든 사용자의 자격 증명을 얻을 수 있습니다. – cjds
안전하지 않은 세션이 있습니까? 해커가 액세스 할 수 있습니까? – Alvaro
@Steve 나를 기억한다면 토큰은 쿠키 안에 저장되고 위협 모델은 세션 쿠키와 동일합니다. 그러나! 세션은 서버 측에서 메모리를 보유하고 공격자에게 컨텍스트를 제공하며 좋지 않습니다. 나를 기억하는 토큰은 재 인증 (더 많은 보안을 위해 토큰 값을 변경할 수 있음)을 적용하고 사용자의 재 인증을 추적 할 수 있습니다. 그리고 나는 2 주 동안 사용자 세션을 저장하는 것이 가장 좋은 앱 구성 결정이 아니라고 생각합니다 :) 공격자가 서버를 매우 쉽게 공격 할 수 있습니다. :) – fatfredyy