Security 本地存储cookie的安全性
如果cookie仅存储在客户端浏览器的本地,而从未通过internet发送到服务器,那么cookie是否安全Security 本地存储cookie的安全性,security,cookies,Security,Cookies,如果cookie仅存储在客户端浏览器的本地,而从未通过internet发送到服务器,那么cookie是否安全 编辑-即时消息制作一个加密文件服务,它的工作方式是用户有两个密码,一个用于登录他的帐户,另一个用于加密和解密他们的文件。登录后,他们会看到一个窗口,询问他们的解密密码。此密码存储在用户浏览器上的cookie中。从服务器发送一个加密的文件列表,javascript使用cookie对其进行解密(在浏览器中对上传的文件加密一次,然后php在服务器上对其进行加密)。这是一种安全的做事方式还是一种
编辑-即时消息制作一个加密文件服务,它的工作方式是用户有两个密码,一个用于登录他的帐户,另一个用于加密和解密他们的文件。登录后,他们会看到一个窗口,询问他们的解密密码。此密码存储在用户浏览器上的cookie中。从服务器发送一个加密的文件列表,javascript使用cookie对其进行解密(在浏览器中对上传的文件加密一次,然后php在服务器上对其进行加密)。这是一种安全的做事方式还是一种更好的方式?另外,我确实使用SSL,但我正在尝试添加更多的安全性
每个请求都会发送一个cookie。因此,如果使用标题在浏览器上设置cookie:
Set-Cookie: Password=foo
然后,即使从服务器请求映像:
<img src="/images/bar.jpg" />
相反。会话存储对于每个浏览器选项卡都是唯一的,并且在用户离开页面时会被清除。它只能通过JavaScript读取,并且不会针对每个请求自动发送
此外,由于您的密码可被本地攻击者读取,并且基于密码的密钥仅与密码一样安全,因此建议使用JavaScript或增强密钥。这将使任何加密对象更难通过蛮力攻击解密,因为每次密码尝试都需要通过哈希函数运行,从而大大降低攻击速度。这也意味着,如果在客户机上查看存储,则无法以明文形式查看密码。虽然这可能是一个没有实际意义的问题,因为如果攻击者可以读取加密密钥,即使它是散列的,他们仍然可以解密数据,虽然如果用户在其他系统上重复使用了他们的密码,它将无法在那里使用。你可能想充实你的问题,并在security.stackexchange.com上提问——我认为这不太适合在这里使用。@Two-Bitalchest非常正确。我会用1-2页来回答这个问题,但简而言之;使用HTML5的本地存储功能来存储密钥,而不是cookie。
Cookie: Password=foo