¿Guardar clave de cifrado en $ _SESSION vs $ _COOKIE?

1

Lea el tutorial aquí: enlace (escenario # 2)

Se recomienda almacenar la clave de cifrado en una variable de sesión. Me preguntaba: ¿es más seguro almacenar la clave en una variable de cookie?

Mi suposición:

  • $ _SESSION se almacena en el servidor
  • $ _COOKIE se almacena en el dispositivo del cliente (navegador)

Modelo de amenaza:

  • Contra los empleados de los datos de indagación del proveedor de hosting
  • Contra los piratas informáticos (es probable que ataquen el servidor en lugar del dispositivo de un usuario)

Actualización:

Notas para aclaraciones en los comentarios para @SteffenUllrich. A continuación se muestran las citas exactas en el tutorial.

SteffenUllrich: "Donde se encuentran los datos cifrados ..."

  

Alice desea alojar la aplicación web de Dave, incluida su base de datos, en su servidor

SteffenUllrich: "recomendación sobre el almacenamiento de la clave en la sesión ..."

  

guarde el objeto Clave en un lugar seguro (como el almacenamiento de sesión con respaldo de memoria temporal)

    
pregunta IMB 10.09.2016 - 22:29
fuente

1 respuesta

1

Lo importante es que la clave y los datos cifrados no deben almacenarse en el mismo lugar, es decir, no ambos en el disco, no ambos en el lado del cliente (no se envían datos cifrados ni se almacena la clave en la cookie), etc. los datos cifrados permanecen en el lado del servidor, tanto una cookie como un objeto de sesión en memoria del lado del servidor deben ser lo suficientemente seguros. Las cookies pueden ser incluso más seguras que un objeto de sesión en memoria del lado del servidor porque son más temporales, es decir, el cliente proporcionará la clave si es necesario y, si no es necesario, la clave no existirá en absoluto en el servidor, ni siquiera en la memoria. / p>     

respondido por el Steffen Ullrich 11.09.2016 - 17:31
fuente

Lea otras preguntas en las etiquetas