关于登录cookie信息加密有何意义?
很多程序在用cookie保存用户登录信息时,如帐户名与密码,通常都对值进行了加密,
如MD5或Base64等常见加密算法。目的嘛,当然是为了安全。不过这种加密对安全会有帮助?
大家可能会想,对数据加密了,就算你得到了cookie,你也不知道真实的值是什么,所以没有用。
真是这样吗?
既然有人已恶意得到某个已登录帐户的cookie值(如通过跨站攻击XSS/CSS方法),人家根本没必要
对你的加密进行解密,直接将得到的“加密后的cookie”放在操作系统相应的位置,然后通过浏览器
浏览相应的网站,这个网站就会通过cookie判断“此用户已登录”,如此看来,加密似乎没什么必要
,也无意义。
所以防备COOKIE泄露,防御XSS/CSS攻击才是正道。
以上只是个人的想法,肯定有狭隘之处,请高手指出,我这种理解错误在哪里。