我正在阅读一个旧应用程序,它将用户名和密码保存为一个cookie - 作为“记住我”功能。这种方法有什么问题,如果有的话?将用户名和密码存储在cookie中有什么问题?
我猜如果有人在网站的其中一个页面上进行了恶意JavaScript注入,但是除此之外还有其他安全风险,密码可能会被诽谤?
我正在阅读一个旧应用程序,它将用户名和密码保存为一个cookie - 作为“记住我”功能。这种方法有什么问题,如果有的话?将用户名和密码存储在cookie中有什么问题?
我猜如果有人在网站的其中一个页面上进行了恶意JavaScript注入,但是除此之外还有其他安全风险,密码可能会被诽谤?
您正在通过互联网发送密码,并且每个HTTP请求都是明文密码。如果您不使用SSL,则存在窃听风险。
一个明显的例子是,如果有人在从用户的浏览器发送到您的服务器时拦截了Cookie,则可以模拟该用户。请参阅Firesheep。
Cookie位于客户端,所以任何有权访问用户计算机的人都可以读取它。