Ho un'applicazione in cui leggo l'utenteoggetto abbastanza frequentemente nell'app. Sto pianificando di memorizzare nella cache l'oggetto utente che ha anche le sue credenziali hash (hash). Il client ha accesso solo alla porta HTTPS 443. In quale scenario un utente malintenzionato / un altro processo può potenzialmente accedere alla mia cache.
È una cattiva pratica - perché o in quali casi.
risposte:
1 per risposta № 1Dipende da dove lo stai memorizzando nella cache.
Se lo si memorizza nella cache in memcached, dove qualsiasi processo sulla rete può accedervi (non c'è affatto autenticazione), allora sì, questo è un problema.
Se lo stai memorizzando nella cache sulla macchina (un frammento di memoria condivisa, ecc.), Allora va bene (dato che i controlli del sistema operativo proteggeranno il segmento di memoria da altri utenti).
Se stai effettuando il caching usando qualcosa come Redis con l'autenticazione attivata, allora stai bene.
In breve, se la tua cache è autenticata, prova a farlo. Se non lo è (ed è aperto per qualsiasi utente arbitrario sulla rete da leggere), allora sicuramente no.