我通常在使用公告板软件的社区中闲逛。
我正在查看该软件在我的浏览器中保存为 cookie 的内容。
如您所见,它保存了 6 个 cookie。其中,我认为对身份验证很重要的是:
- ngisessionhash:当前会话的哈希
- ngipassword:密码的哈希(可能不是普通密码)
- ngiuserid:用户ID
这些当然是我的假设。我不确定是否出于同样的原因使用了ngilastactivity和ngilastvisit 。
我的问题是:为什么要使用所有这些 cookie 进行身份验证?我的猜测是,也许生成会话哈希会很容易,所以使用 hashedpassword 和 userid 会增加安全性,但是 cookie 欺骗呢?我基本上将所有基本信息都留在了客户端上。
你怎么看?
更新#1
这些 cookie 的内容就是我认为它们包含的内容。我不确定。当然,如果调用 cookie ngivbpassword 并包含哈希,我猜是 hashedpassword。可能它可能是密码+盐。
我主要担心的是这些解决方案在cookie 欺骗攻击下会提供大量信息。
更新#2 这个问题不想批评这些特定软件的工作方式,但是,通过这些答案,我只想了解更多关于在 Web 环境中保护软件的信息。