2
背景:デスクトップアプリケーションから、初めてログインする場合はユーザー名/パスワードを入力する必要があるSSL暗号化Webポータルに移動します。私は安全に自分のユーザーセッションを維持できるようにしたい。私は、暗号化されたクッキーを使用して、そのユーザー名と一意のセッショントークン/キーを保存することを考えていましたが、クライアント証明書がセキュリティの点でどのようなメリットをもたらしているのか疑問に思いました。SSLでのセッションの保存暗号化されたCookieとクライアント証明書
私は現在、それを理解して見る方法:
暗号化されたクッキーを:サイト全体のコンテンツを、SSLあるので、単に他のクッキー
- Cookieを改ざんすることはできません
- 簡単に実装可能
- ユーザーが再度ログインすると、トークン/キーと新しいもの
問題発行:
- 保存されたセッションで、コンピュータ上のWebポータルにアクセスしようと誰もができるようになりますが、これはどんな問題ですが永続セッション、そう?
- コンピュータAがコンピュータAであり、コンピュータAのクッキーをコピーしたコンピュータBだけではないことをどのように知ることができますか?
クライアント証明書:
- が一意にその人のコンピュータを識別します(または、それがユーザーアカウントに制限することができます)をインストールするにはお尻の痛みWebポータル へ
- クライアント証明書が盗まれた場合、アカウントが侵害されます。
質問:最大限のセキュリティを維持するユーザーセッションを維持するには、暗号化されたCookieで十分か、クライアント証明書をインストールする必要がありますか?彼らはどのように違いますか?
いずれの方法も「最高のセキュリティで」素晴らしいとは思いません。永続的なセッションは決して安全なものではありません。なぜなら、クライアントマシンにアクセスできる人は、システムにまっすぐに入ることができるからです。それが問題ではないと仮定すると、2つのソリューション間のセキュリティの違いはそれほど重要ではありません。 –