将信息存储在cookie中以记住登录

Question

我想将一些用户信息（散列）存储在cookie中以记住登录以自动登录。为了使它相对安全，我会添加用户浏览器信息HTTP_USER_AGENT，这将类似于：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040803 Firefox/0.9.3 我不会添加用户IP，因为动态IP每次都会更改。有没有其他用户特定的信息，我可以存储在散列饼干，使其有点安全，以防止cookie窃取等？ 谢谢。

Answer 1

这是一个完美的例子security through obscurity。它不会使系统更安全，因为攻击者可以轻易伪造更多信息。

我建议您将数据库中的用户标识存储到会话并将会话标识存储在Cookie中。这应该够了。

而且，可以使您的会议更加安全的应用补丁最常见的会话攻击：

• Session fixation
• Session hijacking
• Session poisoning