Причина использования большего количества файлов cookie чем просто хеш сеанса для аутентификации?
Я обычно общаюсь в сообществе, которое использует программное обеспечение для доски объявлений.
Я смотрел, что это программное обеспечение сохраняет в виде файлов cookie в моем браузере.
Как вы можете видеть сохраняет 6 файлов cookie. Среди них для аутентификации я считаю важными:
- ngisessionhash: хэш текущего сеанса
- ngipassword: хэш (вероятно, не простой пароль) пароля
- ngiuserid: идентификатор пользователя
Это, конечно, мои предположения. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie - это то, что я думаю, они содержат. Я не уверен в этом.
- ngisessionhash: хэш текущего сеанса
- ngipassword: хеш (вероятно, не простой пароль) пароля
- ngiuserid: идентификатор пользователя
Это мои предположения о курс. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie - это то, что я думаю, они содержат. Я не уверен в этом.
- ngisessionhash: хэш текущего сеанса
- ngipassword: хеш (вероятно, не простой пароль) пароля
- ngiuserid: идентификатор пользователя
Это мои предположения о курс. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie является тем, что я думаю, они содержат. Я не уверен в этом. хэш (вероятно, не простой пароль) пароля
Это, конечно, мои предположения. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie является тем, что я думаю, они содержат. Я не уверен в этом. хэш (вероятно, не простой пароль) пароля
Это, конечно, мои предположения. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie - это то, что я думаю, они содержат. Я не уверен в этом. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie - это то, что я думаю, они содержат. Я не уверен в этом. Я не знаю наверняка, используются ли ngilastactivity и ngilastvisit по той же причине.
Мой вопрос: зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie - это то, что я думаю, они содержат. Я не уверен в этом. зачем использовать все эти файлы cookie для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie является тем, что я думаю, они содержат. Я не уверен в этом. зачем использовать все эти куки для аутентификации? Я предполагаю, что, возможно, создание хэша сеанса будет несложным, поэтому использование hashedpassword и идентификатора пользователя повышает безопасность, но как насчет подмены файлов cookie? По сути, я оставляю на клиенте всю основную информацию.
Что вы думаете?
ОБНОВЛЕНИЕ # 1
Я думаю, что содержимое этих файлов cookie является тем, что я думаю, они содержат. Я не уверен в этом. Конечно, если вызвать файл cookie ngivbpassword и он содержит хеш, я предполагаю, что это hashedpassword. Скорее всего, это мог быть пароль + соль.
Меня больше всего беспокоит то, что это решение дает много информации при атаке спуфинга файлов cookie .
ОБНОВЛЕНИЕ # 2 В этом вопросе не содержится критики того, как работает это конкретное программное обеспечение, но, изучая эти ответы, я просто хочу узнать больше о защите программного обеспечения в веб-среде.