Вопросы Теги

Расшифровка фляжки Cookie [дубликат]

0
задан Andrii Hidden 15 September 2015 в 15:29
поделиться

1 ответ

Файл cookie сеанса не зашифрован. Это json закодированный, сжатый, закодированный base64 и криптографически подписанный. Для этого он использует свой опасный пакет . Сессионный файл cookie не предназначен для чтения снаружи Flask. Вы могли бы, конечно, обратить вспять этот процесс (отделить подпись, проверить ее, декодировать полезную нагрузку и распаковать ее). Тем не менее, было бы разумнее позволить Flask сделать это и просто вести журнал из приложения.

Для справки, формат файла cookie:

  • начинается с ., если данные сжаты (использует zlib)
  • данные (кодировка base64, возможно сжатая, json-кодированная)
  • . разделяет данные и подпись
  • подпись (по умолчанию hmac)

В поисках источника для его опасных и флеш покажет особенности того, что вам нужно будет отменить, если вы попытаетесь прочитать это в Apache.

1
ответ дан davidism 17 August 2018 в 18:12
поделиться
  • 1
    ОК. Благодарю. Вероятно, просто добавьте еще один сервер Apache на том же хосте, который будет настроен для запроса журнала из фляжки (стрелять из фляжки, читаемой cookie) – Andrii Hidden 16 September 2015 в 09:00
  • 2
    @AndriiHidden вам не нужно делать это из Apache, вы просто чрезмерны. Войдите в систему непосредственно из приложения Flask. – davidism 16 September 2015 в 12:51
  • 3
    Да, я думал об этом, но я не нашел подходящую библиотеку. Потому что, поскольку для меня я не хочу писать свою собственную систему журналов (которая будет архивировать, возможно, контролировать smth). Гораздо лучше для меня передать его apache или nginx. Кажется очень простым, только один выстрел и все. Вы заказали журналы. – Andrii Hidden 16 September 2015 в 13:02
  • 4
    @davidism Означает ли это, что не рекомендуется хранить такие вещи, как временные токены доступа в cookie сеанса, учитывая, что это может быть легко дешифровано? – AdjunctProfessorFalcon 17 July 2016 в 06:00
  • 5
    @ Malvin9000 Не имеет смысла говорить, что его можно расшифровать, он не зашифрован в первую очередь. Третьей стороне, вероятно, трудно получить доступ к куки-файлу сеанса при использовании ssl и конфигурации httponly по умолчанию, но это решение зависит от вас. Используйте сеансы на стороне сервера, если вы не хотите передавать что-либо за идентификатором сеанса. – davidism 17 July 2016 в 06:11
Другие вопросы по тегам:

Похожие вопросы: