2012-10-21 118 views
1

某處,但我不記得在哪裏,我讀到了在cookie中存儲敏感信息時,應該加密或至少編碼數據。需要編碼或加密cookie中的電子郵件地址

我只使用一個cookie到目前爲止,它只能用於記住登錄頁面上的電子郵件功能。加密似乎有點矯枉過正,但我​​想知道它的良好做法是否至少編碼存儲在cookie中的電子郵件地址?

感謝您的任何建議。

+1

爲什麼在cookie中的電子郵件地址保存:如果你使用它作爲一個登錄名,然後將其存儲在會話....或存儲唯一的數字ID爲每個用戶記錄,而不是 –

+0

@MarkBaker我不是將其存儲爲用戶身份驗證,只是爲了方便用戶,以便他們在登錄時不必重新輸入他們的電子郵件地址。 –

+1

給他們一個獨特的價值存儲在cookie中,然後可以鏈接到你的數據庫到他們的用戶記錄,因此他們的電子郵件...然後你不需要將電子郵件地址存儲在一個cookie ...當你建立的登錄頁面,你可以訪問數據庫使用獨特的cookie值來檢索他們的電子郵件和預填充登錄名 –

回答

1

我的回答:它不會傷害

老實說,如果他們把他們的電子郵件在網絡表單中,我不會」不要太在意加密它。我可能base64編碼它,或多或少,所以我不必擔心unicode字符。但全面加密它?普通網站可能不需要。

但是,就像我說的那樣,它並沒有傷害。雖然我不認爲這是必要的,但如果您不方便將人們的電子郵件留在cookie中,簡單的撥打電話可以讓您放心。

任何類型的會話劫持都不能通過電子郵件地址單獨完成,但它隱私問題讓某人能夠將他們的電子郵件與您的網站相關聯。

+0

感謝您的回答。我並不擔心,我可能會用簡單的base64_encode來發送電子郵件地址。 –

+0

http://security.stackexchange.com/questions/34955/should-cookies-that-c​​ontain-non-sensitive-information-be-encrypted這給出了一個更好的視角。加密頻道!劫機者也會重播加密的cookie – Anshul

1

它是一個更好的用戶隱私保護策略來加密其數據。所以我認爲你應該加密用戶的電子郵件。

閱讀this文章,因爲它可能會幫助你一點點

相關問題