我读过一些关于SO(例如这里)的文章和问题,它们说你不应该将用户的密码存储在cookie中。如果密码被加盐和哈希,为什么这是不安全的?
特别地,为什么它比通常建议的使用会话更不安全?如果用户想要保持登录状态,那么这个新的cookie(带有会话ID /哈希)肯定和包含用户密码的cookie一样安全,如果cookie以某种方式被“窃取”,攻击者可以用同样的方式登录用户。
编辑:问题的主要焦点在于用户保持登录状态,即通过“记住我?”复选框。在这种情况下,肯定只有一个会话吧?
特别地,为什么它比通常建议的使用会话更不安全?如果用户想要保持登录状态,那么这个新的cookie(带有会话ID /哈希)肯定和包含用户密码的cookie一样安全,如果cookie以某种方式被“窃取”,攻击者可以用同样的方式登录用户。
编辑:问题的主要焦点在于用户保持登录状态,即通过“记住我?”复选框。在这种情况下,肯定只有一个会话吧?