2
其中cookie由base64編碼的數組內容組成,後面跟着(我相信)這個內容的SHA1哈希值是隻有服務器知道的長session_secret,這個策略有多安全?據我瞭解,散列是一個簽名,可防止客戶端篡改cookie內容。這個系統是否安全?特別是,攻擊者能否弄清楚如何在不訪問session_secret的情況下僞造簽名?是否還有其他漏洞?與Session_secret一起使用時,Rack :: Session :: Cookie是否安全?
Oleksi,如果session_secret足夠長和隨機的話,不會發生數年的攻擊嗎?我想這是我的問題的核心。此外,如果還有其他類型的攻擊源於攻擊者可能創建SHA1( + )= <已知cookie值>的多個樣本的事實。 –
Jonah