He escuchado que las cookies son menos seguras que la sesión.
Por ejemplo, si una web usa una cookie para detectar si un usuario ha iniciado sesión o no, la gente puede falsificar una cookie para simular a un usuario falso porque puede leer la cookie y falsificar una fácilmente. Aquí hay un enlace que he encontrado: Autenticación de sesión contra cookie
Ahora estoy usando Tornado con python para construir un sitio web. Aquí hay un ejemplo simple del módulo de inicio de sesión con Tornado: enlace
Para mi sorpresa, no hay sesión en Tornado. Su documento dice que hay cookies seguras, pero no creo que sean más seguras que las cookies comunes.
cookie ordinaria:
browser ------- I'm Tom, my password is 123 -------> server
cookie segura:
browser ------ &^*Y()UIH|>Guho976879 --------> server
Estoy pensando que si pudiera obtener &^*Y()UIH|>Guho976879
, todavía puedo falsificar la cookie, ¿verdad?
Si estoy en lo cierto, ¿por qué Tornado no tiene la sesión? ¿O hay alguna forma de que la cookie segura sea igual de segura que la sesión? Tal vez que borre las cookies cuando el navegador está cerrado pueda ser más seguro?