將信息存儲在cookie中以記住登錄

Question

我想將一些用戶信息（散列）存儲在cookie中以記住登錄以自動登錄。爲了使它相對安全，我會添加用戶瀏覽器信息HTTP_USER_AGENT，這將類似於：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040803 Firefox/0.9.3 我不會添加用戶IP，因爲動態IP每次都會更改。有沒有其他用戶特定的信息，我可以存儲在散列餅乾，使其有點安全，以防止cookie竊取等？ 謝謝。

Answer 1

這是一個完美的例子security through obscurity。它不會使系統更安全，因爲攻擊者可以輕易僞造更多信息。

我建議您將數據庫中的用戶標識存儲到會話並將會話標識存儲在Cookie中。這應該夠了。

而且，可以使您的會議更加安全的應用補丁最常見的會話攻擊：

• Session fixation
• Session hijacking
• Session poisoning