Sicherheit im Browser

Question

Ist es sicher, die Benutzer-ID in einem Cookie zu speichern? Warum?

Answer 1

Hängt ganz davon ab, wofür die ID verwendet wird.

Wenn es für die Authentifizierung ist, ist es keine gute Idee. Ich könnte sie zu allem ändern.

Es ist besser, eine Nonce zu speichern, die regelmäßig erneuert wird (auf jeder Seite, wenn es den Server nicht überlastet). Vergleichen Sie diese dann in Ihrer Datenbank mit dem authentifizierten Benutzer.

Answer 2

Es ist in Ordnung, aber stellen Sie sicher, dass Sie eine Validierung für dieses Cookie durchführen.

Answer 3

Wenn es sich um eine Art von Sitzungsverwaltung handelt oder als Schlüssel zum Zugriff auf sensitive Informationen (Passwort, Finanz-, medizinische usw.) verwendet wird, dann möchten Sie es nicht in einem Cookie speichern - auf keinen Fall im Klartext.

Gute Praxis ist es, ein Sitzungscookie zu verwenden, das verschlüsselt ist, um es schwer zu erraten, gegen eine interne Serverreferenz validiert, regelmäßig erneuert wird (bei Änderungen des Sicherheitsstatus - z.B. beim Wechsel von http zu https-Seiten) und beim Verlassen oder Ausloggen widerrufen wird, um eine erneute Verwendung zu verhindern.

Answer 4

Es ist in Ordnung, das zu tun. Aber bevor du etwas Wichtiges bestätigst, frage nach dem Passwort des Benutzers zur Überprüfung.