我几天前在Pyramid框架上发布了我的网站,出于性能原因,我选择了带有Pyramid_beaker的session.type = cookie。所以在cookie中,我加密了user_id,它看起来像这样:
usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int"
# for example here is encrypted id 1
而且我还试着用饼干代替它。我已经在id 2下登录,更改了前一个的cookie,现在我自动在id 1下登录!!!
这正常吗?安全吗???还有什么比用它的超级算法加密更好的呢?那么,某些病毒可以窃取某个用户的cookie并以他的身份登录?保安在哪里???
有人能给我解释一下吗?谢谢
是的,会话cookie很容易被窃取并被用来模拟登录用户。通过缩短会话的使用寿命和/或将其绑定到客户端的IP地址,您可以在一定程度上将这种风险降至最低,但这些只是专门黑客的绊脚石。唯一真正的解决方案是使用SSL对会话进行完全加密。这就是为什么许多流行的网站(Gmail、Facebook等)提供或需要HTTPS会话,以及为什么Firefox扩展HTTPS Everywhere存在的原因。