स्प्रिंग प्रलेखन कि याद मुझे कुकी में निम्नलिखित जानकारी भंडारण के द्वारा कार्यान्वित किया जाता है का कहना है कि -वसंत सुरक्षा प्रमाणीकरण प्रबंधन भेद्यता
बेस 64 (उपयोगकर्ता नाम + ":" + expirationTime + ":" + md5Hex (उपयोगकर्ता नाम + ":" + expirationTime + ":" पासवर्ड + ":" + कुंजी))
मैं निम्नलिखित भ्रम -
क्यों एक का उपयोग एसएचए -1 या SHA-2 का उपयोग करने के बजाय जानकारी को पचाने के लिए एमडी 5 की तरह असुरक्षित हैश। क्या सूचनाओं के इतने छोटे टुकड़े के लिए इन से प्रदर्शन प्रदर्शन महत्वपूर्ण होगा?
इस जानकारी को नेटवर्क पर क्यों प्रसारित करें? क्रिप्टोग्राफ़िक रूप से सुरक्षित यादृच्छिक संख्या का नक्शा और सर्वर पर यह जानकारी क्यों न रखें, केवल कुकी के रूप में मानचित्र कुंजी लौटाएं। AFAIK यह सर्वलेट एपीआई द्वारा उपयोग किया जाने वाला दृष्टिकोण है और इसे अधिक सुरक्षित माना जाता है।
MakeTokenSignature() को ओवरराइड करना एक अच्छा तरीका है, क्योंकि मुझे नहीं लगता कि SHA-2 टूटा जा सकता है। मुझे आश्चर्य है कि किस मामले में लगातार एक सतत टोकन दृष्टिकोण का उपयोग करने की आवश्यकता होगी। –
क्योंकि दृढ़ता दृष्टिकोण बिल्कुल अधिक सुरक्षित है। पासवर्ड के बारे में कोई जानकारी प्रदान करना हमेशा एन्क्रिप्टेड पासवर्ड भेजना बेहतर होता है। - लेकिन यह चर्चा सैद्धांतिक है। - वैसे भी मैं लगातार टोकन दृष्टिकोण पसंद करता हूं, क्योंकि इससे इस तरह के टोकन को हटाने जैसी अतिरिक्त सुविधाएं सक्षम होती हैं। – Ralph
लगातार टोकन दृष्टिकोण निश्चित रूप से बेहतर है लेकिन मुझे यकीन नहीं है कि इस परिदृश्य में एमडी 5 का उपयोग करने के बारे में असुरक्षित क्या है, जहां इसे मूल रूप से हस्ताक्षर के रूप में उपयोग किया जा रहा है। आपको हैश किए गए पासवर्ड और एमडी 5 हैश को दोबारा बनाने की कुंजी दोनों तक पहुंच की आवश्यकता होगी। – sourcedelica