Уязвимость управления аутентификацией безопасности Spring

Question

Документация Spring говорит, что функция "запомнить меня" реализована путем сохранения следующей информации в файле cookie-

base64 (имя пользователя + " :" + expireTime + " :" + md5Hex (имя пользователя + " :" + expireTime + " :" пароль + " :" + ключ))

У меня есть следующие недоразумения-

Зачем использовать небезопасный хэш, такой как MD5, для обработки информации вместо использования SHA -1 или SHA -2. Будет ли снижение производительности от них значительным для такого небольшого фрагмента информации?
Зачем вообще передавать эту информацию по сети? Почему бы не поддерживать карту криптографически безопасных случайных чисел и эту информацию на сервере, возвращая только ключ карты в виде файла cookie. Насколько я знаю, это подход, используемый Servlet API, и он считается более безопасным.

9

задан Kshitiz Sharma 28 September 2012 в 12:17

0 ответов

Другие вопросы по тегам: