Tag: 记得我

什么encryptionalgorithm最适合encryptioncookie?

由于这个问题比较stream行,所以我认为给它一个更新是很有用的。 让我强调AviD给这个问题的正确答案 : 你不应该在你的cookie中存储任何需要encryption的数据。 相反,在cookie中存储大小适中的(128位/ 16字节)随机密钥,并将要保持安全的信息存储在服务器上(由cookie的密钥标识)。 我正在寻找关于encryptioncookies的“最好的”encryptionalgorithm的信息。 我有以下要求: 它一定是快的 encryption和解密的数据将(几乎)完成每一个请求 它将在小数据集上运行,通常是大约100个字符或更less的string 它必须是安全的,但它不像我们正在确保银行交易 我们需要能够解密这些信息,以便SHA1等等。 现在我读了Blowfish是快速和安全的,我已经读了AES是快速和安全的。 随着河豚具有较小的块大小。 我认为这两种algorithm都提供了足够的安全性? 所以速度会成为决定性的因素。 但是我真的不知道这些algorithm是否适合小string,以及是否有更好的algorithm来encryptioncookie。 所以我的问题是: 什么encryptionalgorithm最适合encryptioncookie数据? 更新 更准确地说,我们要encryption2个cookie:一个带有会话信息,另一个带有“记住我”的信息。 该平台是Linux上的VPS上的PHP作为apache模块。 更新2 我同意Cletus将任何信息存储在cookie中是不安全的。 但是,我们有要求实施“记住我”function。 接受的方法是设置一个cookie。 如果客户提供这个cookie,他/她可以(几乎)相同的权限访问系统,就像他/她提供有效的用户名密码组合一样。 所以我们至less要encryptioncookie中的所有数据,以便: a)恶意用户无法读取其内容, b)恶意用户不能制造自己的cookie或篡改它。 (在我们做任何事情之前,所有来自cookies的数据都经过了消毒和检查的有效性,但这是另一回事) 会话cookie只包含sessionId / timestamp。 它可能可以使用没有encryption,但我认为没有encryption的危害吗? (除了计算时间)。 所以鉴于我们必须在cookie中存储一些数据,encryption它的最好方法是什么? 更新3 对这个问题的回答使我重新考虑了所select的方法。 我确实可以做到这一点,而不需要encryption。 我不应该对数据进行encryption,而应该只发送没有意义的数据而无法猜测 。 不过,我也很茫然: 我认为encryption使我们能够将数据发送到BigBadWorld™,并且仍然(相当)地确信没有人能够读取或篡改数据。 难道那不是encryption的全部? 但是下面的反应会推动:不要相信encryption来实现安全。 我在想什么?

什么是最好的方式来实现“记住我”的网站?

我想我的网站有一个checkbox,用户可以点击,这样他们就不必每次访问我的网站时都要login。 我知道我需要在他们的计算机上存储一个cookie来实现这个function,但是这个cookie中应该包含什么? 另外,是否还有一些常见的错误需要注意保持这个cookie不会出现一个安全漏洞,这个安全漏洞可以避免,同时还能提供“记住我”function?