Pyramid_beaker: session.type = cookie не является безопасным?

Question

Pyramid_beaker: session.type = cookie не является безопасным?

Я запустил свой сайт несколько дней назад на платформе Pyramid и выбрал session.type = cookie с pyramid_beaker в целях производительности. Итак, в cookie я зашифровал user_id, это выглядит так:

usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int" 
# for example here is encrypted id 1

И чем я пытался заменить cookie. Я вошел в систему под идентификатором 2, изменил его cookie на предыдущий, и теперь я автоматически захожу под идентификатором 1!!!

Это нормально? Это безопасно??? Зачем шифрование с помощью супер-алгоритмов? Итак, какой-нибудь вирус может украсть куки пользователя и войти под его идентификатором? А где находится Охрана???

Кто-нибудь может мне объяснить? Спасибо!

2

python pyramid beaker

Источник

user848550 14 фев '12 в 15:09

1 ответ

Решение

Другие вопросы по тегам python pyramid beaker

user416467 14 фев '12 в 15:16 2012-02-14 15:16 · Accepted Answer · 2012-02-14 15:16

Да, сеансовые куки-файлы уязвимы для кражи и использования для олицетворения вошедшего в систему пользователя. Вы можете до некоторой степени минимизировать этот риск, предоставляя сеансам короткий срок службы и / или привязывая их к IP-адресу клиента, но это всего лишь камень преткновения для выделенного хакера. Единственное реальное решение - полностью зашифровать сеанс с использованием SSL. Вот почему многие популярные сайты (Gmail, Facebook и т. Д.) Предлагают или требуют сеансы HTTPS, и поэтому расширение Firefox HTTPS Everywhere существует.