Desde una perspectiva de seguridad de la información, ¿cuándo deberían habilitarse las sesiones del lado del servidor en lugar de las sesiones del lado del cliente?
De lo que recojo, las "sesiones del lado seguro del cliente" son cookies que contienen datos firmados de tal manera que el usuario puede "mirar" su contenido, pero no puede modificarlos sin que el servidor lo sepa. Estoy un poco confundido en cuanto a si esto implica que los contenidos de la cookie están encriptados o que los contenidos son legibles para los humanos. Flask, por ejemplo, , cifra los datos. Si los datos están cifrados, ¿en qué circunstancias no sería seguro almacenar los datos de la sesión en la cookie? Por ejemplo, ¿es seguro poner un token csrf en una cookie del lado del cliente, ya sea que esté cifrada o no?
Por otra parte, una "sesión del lado del servidor" tiene dos partes: una cookie que contiene solo un ID de sesión y una entrada de base de datos que contiene el ID de sesión y los datos. En esta implementación, el usuario no puede acceder a los datos de la sesión.