CGI :: Session和HTTP：CryptoCookie用於登錄（Perl的）

Question

從我讀過到目前爲止無處不在......

CGI ::會議（http://metacpan.org/pod/CGI::Session）似乎是使用Perl會話管理的首選方式。它有廣泛的教程可用。

HTTP :: CryptoCookie相對較少使用和已知。

我能夠通過這個簡單的代碼來設置使用CGI ::會話cookie：

#Session 
my $cgi = CGI->new; 
$CGI::DISABLE_UPLOADS = 1;   # Disable uploads 
$CGI::POST_MAX  = 512 * 1024; # limit posts to 512K max 

my $session = CGI::Session->new('driver:mysql', undef, 
    { 
     TableName=>'database', 
     IdColName=>'id', 
     DataColName=>'sessionvalue', 
     Handle=>$dbh, 
    }); 

$session->expire('+1y'); 

print $session->header();  


$session->flush(); 

我不CGI的源代碼見::會議，加密的強烈跡象，所以我有點擔心。

我讀CPAN教程，並注意這一行：

「默認情況下，CGI ::會話使用標準的CGI來解析查詢和餅乾。」

它讓我想到，我可以使用HTTP :: Cryptocookie？而不是標準的CGI，它會通過發送加密的cookies而不是標準的cookies來讓我的登錄腳本更安全？但有關HTTP :: Cryptocookie的文檔非常稀少。我也沒有在谷歌上找到任何東西。

也許有人可以幫助我嗎？

Answer 1

由於CGI :: Session的工作方式，使用HTTP :: CryptoCookie沒有任何優勢。 CryptoCookie的優點在於，無法確定Cookie包含的內容而不用祕密服務器密鑰。然而，CGI :: Session cookie只包含一個會話ID，因此加密會話ID將無濟於事，因爲加密會話ID的行爲與攻擊者視角中的會話ID完全相同。