使用非氪饼干的风险

Question

我正在制作一个策划的新闻网站，我想知道使用未加密的cookie来存储基本用户信息(名和邮政编码)的安全性/安全性。使用未加密(纯文本)cookie来存储这些信息的安全风险是什么，对于更敏感的信息(例如)又有什么风险呢？电子邮件，密码，甚至信用卡号码)？其他网站可以查看我的网站创建的cookie吗？

Answer 1

使用未加密(纯文本)cookie来存储这些信息的安全风险是什么，对于更敏感的信息(例如)又有什么风险呢？电子邮件，密码，甚至信用卡号码)？

有许多方法使用户数据处于危险之中。下面列出的几个想法。

1. 有许多浏览器扩展监视用户和他们的数据。你让他们的工作很轻松。
2. cookies可以通过嗅探获得。这会向攻击者泄露敏感信息。(当然，可以通过在cookie上设置安全标志并在访问站点时使用https来防止这种情况)。
3. 程序(浏览器)的碰撞转储可能包含用户的敏感数据，并可能泄漏它们。
4. 用户可以在网吧或报亭中使用公共计算机。所以，下一个使用这台计算机的用户可以看到我做了什么。可能这些饼干也是。
5. 此外，正如@Matthew所提到的，用户可以使用cookie编辑器扩展轻松地篡改这些cookie，并查看应用程序的行为。(假设我把cookie中的名字改成了别人的名字，这让我可以访问他们的帐户吗？)

其他网站可以查看我的网站创建的cookie吗？

考虑到火狐、Chrome等主流浏览器，这种情况将被认为是一个关键的安全漏洞。所以，只要你的用户使用一个好的浏览器，你就可以走了。

Answer 2

首先，cookie以纯文本形式存储在终端用户的设备上.第二，它可以被操纵。为什么要将它存储在cookie中而不是会话的数据中？存储在cookie中的任何东西(特别是纯文本)都可以被篡改。

关于其他网站，也许。域属性可以限制谁可以看到它，但这依赖于浏览器来实现它，并且没有其他漏洞可被利用。