cookie 由 base64 编码的数组内容组成,然后是(我相信)该内容的 SHA1 散列,并用只有服务器知道的长 session_secret 加盐,所使用的策略有多安全?据我了解,哈希是防止客户端篡改 cookie 内容的签名。这个系统安全吗?特别是,攻击者能否弄清楚如何在没有访问 session_secret 的情况下伪造签名?是否还有其他漏洞?
问问题
594 次
cookie 由 base64 编码的数组内容组成,然后是(我相信)该内容的 SHA1 散列,并用只有服务器知道的长 session_secret 加盐,所使用的策略有多安全?据我了解,哈希是防止客户端篡改 cookie 内容的签名。这个系统安全吗?特别是,攻击者能否弄清楚如何在没有访问 session_secret 的情况下伪造签名?是否还有其他漏洞?