网站安全认证cookie

Question

你好，我想知道这个令牌对数百万登录用户的站点是否足够安全：

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

拥有1000万连接用户，猜测一个有效的令牌有多难？

它应该有哪些功能？考虑一下，cookie的内容在服务器上来回移动到每个请求，这样就不会太容易了

通过HTTPS设置这个cookie是安全的，但是在每个HTTP页面中读取它是安全的吗？

Answer 1

这就是它的工作原理:我们倾向于考虑128位无法猜测的随机数据。关于这一点，请参见为什么这么久才破解128位加密呢？。

你想做的是计算生日攻击。在生成相同的ssh键的机会有多大？和如果一个128位哈希函数总是有256位的数据，那么它的碰撞概率是多少？中还有其他一些关于这一点的问题。

您的令牌看起来像是Base64编码的，所以它为每个字符提供了6位。这是超过3000位数据。编码一些更小的东西(128位raw，170+ in B64)并节省带宽。

有关您问题的第二部分，请参见当页面使用HTTP时，HTTPS登录是如何安全的？。