Almacenamiento de información personal en cookies

4

Estoy tratando de hacer una integración de pantalla simple entre dos sitios web.

Uno en:

domain.com

y otro en:

subdomain.domain.com

Todo lo que quiero hacer es mostrar un mensaje "Hola John, Volver al área del cliente" .

Estoy buscando algún consejo sobre si cree que es aceptable almacenar información como un nombre y una dirección de correo electrónico en una cookie?

Necesito el nombre para "Hola [Nombre]" y un correo electrónico para un gravatar. Podría pre md5 el gravatar, o agregar la url gravatar a la cookie, sin embargo, es una premisa similar en ambos sentidos.

Esta información será inútil, por lo que cambiarla no podrá hacer nada malicioso.

Sé que simplemente podría crear una cookie [iniciada sesión = verdadera] que muestre el retorno al área de usuario. Sin embargo, creo que la otra forma da una mejor ilustración de cómo iniciar sesión.

    
pregunta Callum 02.08.2015 - 02:55
fuente

1 respuesta

3

En primer lugar, espero que para domain.com y subdomain.domain.com no signifique que esté utilizando HTTP, en cuyo caso las cookies están muy expuestas y manipuladas en la voluntad de un atacante. También espero que, en caso de que no esté utilizando HTTPS, los servicios de su sitio web no sean cruciales (por ejemplo, no comerciales electrónicos).

Como una buena práctica de seguridad general, ** nunca almacene información privada en cookies **. Si un cliente de su sitio web utiliza su dirección de correo electrónico principal para iniciar sesión, asegúrese de que no le gustaría que un tercero lo use (spam) gracias a su sitio web (en caso de que lo use, por ejemplo, Google AdSence) . Agregue a esto un conjunto de vulnerabilidades comunes de cookies famosas como cocina entre sitios o simplemente cookie theft . Una dirección de correo electrónico es información importante; en mi caso, la escribí codificada en mi perfil. Definitivamente te aconsejo que no utilices el correo electrónico dentro de las cookies.

Solución:

Como todo lo demás, las sesiones no son seguras al 100%, pero aún así es mejor generar un identificador de sesión único en la cookie, y almacenar todo lo demás en su servidor en su lugar. Esto elimina prácticamente las amenazas comunes como envenenamiento de cookies . Y en cuanto a las cookies, no almacene ningún dato en la sesión correspondiente a las credenciales de acceso (en su caso, ¿el correo electrónico del cliente?)

    
respondido por el user45139 02.08.2015 - 08:28
fuente

Lea otras preguntas en las etiquetas