Проблемы безопасности с Itsdangerous для управления сессиями?

Question

Проблемы безопасности с Itsdangerous для управления сессиями?

1

Содержимое подписанного файла cookie с его именем может быть проверено, но не изменено. Существуют ли какие-либо известные проблемы безопасности или соображения при использовании службы управления учетными записями на стороне клиента?

В рассматриваемом сеансе не будут храниться пароли, но, очевидно, какая-либо информация для идентификации пользователя, например

Идентификатор пользователя
URL-адрес аватара
Роль пользователя

poezn 07 нояб. 2011, в 20:21

Источник

Теги:

python

security

session

cryptography

client-side

1 ответ

Ещё вопросы

mattbasta · Accepted Answer · 2012-10-03T15-23-00.000Z

Если вы не используете тайм-аут вашей подписи, злоумышленник может просто поменять файл cookie у другого пользователя (или администратора). Идентификаторы сеансов более непрозрачны, что означает, что злоумышленнику нужно будет попробовать каждый по очереди, но подписанную строку можно просто проверять "на лету" (скажем, открытый прокси-сервер).

В одном из подходов к конечным точкам REST API подписанная строка предоставляется сервером при входе в систему с паролем, а затем отправляется на каждый запрос вместе с идентификатором пользователя и имеет срок действия, скажем, X часов. Подписанная строка также хранится на сервере. При выходе из системы строка удаляется с сервера. Таким образом, строка (токен) действует как временный пароль на 2 часа (или меньше, если есть выход из системы).