Lea el tutorial aquí: enlace (escenario # 2)
Se recomienda almacenar la clave de cifrado en una variable de sesión. Me preguntaba: ¿es más seguro almacenar la clave en una variable de cookie?
Mi suposición:
- $ _SESSION se almacena en el servidor
- $ _COOKIE se almacena en el dispositivo del cliente (navegador)
Modelo de amenaza:
- Contra los empleados de los datos de indagación del proveedor de hosting
- Contra los piratas informáticos (es probable que ataquen el servidor en lugar del dispositivo de un usuario)
Actualización:
Notas para aclaraciones en los comentarios para @SteffenUllrich. A continuación se muestran las citas exactas en el tutorial.
SteffenUllrich: "Donde se encuentran los datos cifrados ..."
Alice desea alojar la aplicación web de Dave, incluida su base de datos, en su servidor
SteffenUllrich: "recomendación sobre el almacenamiento de la clave en la sesión ..."
guarde el objeto Clave en un lugar seguro (como el almacenamiento de sesión con respaldo de memoria temporal)