מזהה express session
-
בשרת המזהה של הסשן הוא מחרוזת של 32 תווים, והעוגיה בדפדפן היא מחרוזת בת 84 תווים.
- מה הקשר ביניהם? האם זו הצפנה \ גיבוב?
- האם זה סיכון למסור את מזהה הסשן שרשום במסד לגורם שלישי? האם הוא יכול באמצעות מזהה הסשן לפענח את העוגיה ולהזדהות בשם המשתמש?
-
@יוסף-בן-שמעון אמר במזהה express session:
מה הקשר ביניהם? האם זו הצפנה \ גיבוב?
לא. מזהה הסשן נמצא שם ב-plain text פלוס חתימה דיגיטלית
הפורמט של הקוקי הוא:s:${sessionID}.${signature}החתימה נוצרת באמצעות ספרייה זו: https://github.com/tj/node-cookie-signature
עם ה-secret שאתה נותן ל-express-sessionהאם זה סיכון למסור את מזהה הסשן שרשום במסד לגורם שלישי? האם הוא יכול באמצעות מזהה הסשן לפענח את העוגיה ולהזדהות בשם המשתמש?
אין בעיה שהוא יפענח, הבעיה הוא רק אם הוא יצליח להזדהות עם הסשן, מכיון שיש חתימה דיגיטלית, הבעיה קיימת לכאורה רק אם הוא יכול ליצור חתימה כזו. בלי ה-secret לכאורה זה לא אמור להיות אפשרי
