/ / Flask sesje po stronie klienta - python, flask, zmienne sesji

Sesje klienckie po stronie klienta - python, flask, session-variables

Zaczynam uczyć się języka Python Kolba platforma aplikacji internetowych, wciąż na etapie uczenia się, więc proszę o wyrozumiałość.

Zastanawiam się, jak odpowiednie są sesje po stronie klienta dla celów bezpiecznych aplikacji internetowych. Z tego, co się wydaje, istnieją poważne obawy:

  • Ponieważ wszystkie zmienne sesji są serializowanei zakodowane w pliku cookie, należy uważać na ilość przechowywanych tam danych, aby utrzymać rozmiar danych HTTP przesyłanych tam iz powrotem w rozsądnym rozmiarze.
  • Nie jestem pewien, czy identyczne zestawy kluczy / wartości mająidentyczne wartości zserializowane, ale jeśli „pobiorę i przechowuję wartość pliku cookie w jednej sesji”, nie mogę „karmić” tej samej, choć zaszyfrowanej, wartości z powrotem w innej sesji w innym czasie i przekonać serwer, że są to prawdziwe wartości zmiennych sesji ? To, co użytkownik może zrobić w ciągu jednego dnia, nie oznacza, że ​​ta sama rzecz jest dozwolona w innym dniu. A jeśli te wartości zmiennych sesji muszą być przez cały czas zabezpieczone, to po co w ogóle trzymać je w „pamięci podręcznej”? Wówczas służą niewiele więcej celowi niż pozwala nam używać ładnych GET URL-i (tj. Zamiast brzydkiego ciągu zapytania z niektórymi parametrami)

Być może więc szukam odpowiedzilimity sesji po stronie klienta Flask, biorąc pod uwagę możliwy atak man-in-the-middle (oczywiście w przypadku niezabezpieczonych sesji http) lub zaawansowanego złośliwego użytkownika, który przechowuje wartości plików cookie w celu późniejszego ich przekazania.

Odpowiedzi:

1 dla odpowiedzi № 1

  • Nie sądzę, że musisz się martwić o rozmiar, ponieważ plik cookie i tak nie może przechowywać więcej niż 4KB danych. Wątpię, czy łatwo znajdziesz się w pobliżu.

  • Jest tak samo bezpieczny, jak inne sesje, ponieważ prawdopodobnie możesz wziąć PHPSESSID cookie do innej przeglądarki i niech działa tak, jak możesz to zrobić. Nic nie stoi na przeszkodzie. Istnieją jednak obejścia tego problemu, możesz je wygasnąć po upływie określonego czasu. Widzieć to pytanie na przykład. Zawiera przydatne odpowiedzi dotyczące tego problemu.

Zawsze możesz użyć sesja bazy danych jeśli chcesz. Jestem pewien, że są też inne implementacje, które można znaleźć.

Edytować: Tutaj są inni.

Powiązane pytania

Jak działa logowanie Flask z wieloma serwerami - python, flask, flask-login
Różnica między @app i app w kolbie [duplicate] - python, flask
pobranie identyfikatora gniazda klienta w kolbie socket.io - python, flask, socket.io
Używanie WOW.js w Flask [zamknięte] - python, animacja, scroll, flask, wow.js
Jak radzić sobie z plikami cookie Python 2 w witrynie Python 3 Flask? - python, ciasteczka, kolba
flask.session udostępniany we wszystkich połączeniach - python, sesja, nginx, flask, uwsgi
ImportError: Brak modułu o nazwie flask.ext.login, mimo że zainstalowano Flask - python, flask, flask-login
Python Flask - zaloguj się za pomocą adresu e-mail, a nie nazwy użytkownika [closed] - python, email, login, nazwa użytkownika, kolba
Jak sprawdzić, czy typ zapytania to ajax w kolbie [duplicate] - python, flask, werkzeug
Wygeneruj podpisaną wartość cookie sesji używaną w kolbie - python, sesja, kolba
Niestandardowe dane handshake z Flask-SocketIO - python, gniazda, kolba, flask-gniazdo
Używając Flask i Flask-SQLAlchemy, jak mogę zmienić połączenie z bazą danych na trasie? - python, kolba, sqlalchemy, flask-sqlalchemy
Czy można bezpiecznie przechowywać identyfikator użytkownika w sesji Flask? - python, kolba, pliki cookie sesji
składnia języka python, klasa, obiekt, kolba
Sprzeczne importowanie - python, import, kolba, dropbox
Problem z atrybutem "cli" w świeżej instalacji kolby [duplikat] - python, kolba, pip
Nie można uruchomić aplikacji Flask przy użyciu serwera programistycznego - python, flask
czytanie flask.session z angularjs - javascript, python, sesja, angularjs, flask
Jednoczesne serwowanie stron internetowych i API z kolbą na różnych portach - kolba, kolba-restplus
Jak bezpiecznie przechowywać referencje na sesję w Flask - uwierzytelnianie, ldap, kolba