Je me demande, y a-t-il des lignes directrices ou des pratiques exemplaires sur l'utilisation des sessions et des cookies? Qu'est-ce qui devrait et ne devrait pas être stocké? Merci!Qu'est-ce qui devrait être stocké dans une session et dans un cookie?
Ces documents sont une bonne façon de lire les problèmes de sécurité de session les cookies, et comment les contourner.
En résumé, vous gardez une clé secrète sur le serveur. Avec cette clé, vous pouvez calculer un hachage sécurisé sur la clé secrète, un horodatage et toutes les données que vous voulez dans le cookie. Vous incluez le hachage sécurisé, l'horodatage et les données dans le cookie.
Lorsque vous recevez une demande, vous pouvez valider que vous obtenez la signature attendue. Donc, personne n'a altéré le contenu des cookies.
Seules les données identifiant la session et les préférences utilisateur non sensibles à la sécurité.
L'une des principales règles d'écriture d'applications sécurisées est qu'une partie hostile peut facilement modifier les données avant de vous les renvoyer. Par conséquent, vous ne devez pas supposer que toutes les valeurs soumises par un client peuvent être utilisées sans validation. Une technique standard consiste à conserver des données sur le serveur et à n'échanger qu'une clé, construite de telle sorte que vous puissiez vérifier les modifications. (N'utilisez pas l'ID utilisateur ou le numéro de compte, car un client hostile pourrait systématiquement manipuler une telle valeur pour essayer de récupérer des données d'autres utilisateurs ou sessions.)
le premier lien ne fonctionne pas –
Vous avez trouvé un autre hôte auquel le document doit être lié. – Christian