Начинаем изучать Pythonколба фреймворк для веб-приложений, все еще на стадии изучения, поэтому, пожалуйста, потерпите меня.

Мне интересно, насколько уместны сеансы на стороне клиента для целей безопасного веб-приложения. Из того, что кажется, есть некоторые серьезные проблемы:

Поскольку все переменные сеанса сериализованы и закодированы в cookie, нужно быть осторожным с тем, сколько данных они там хранят, чтобы размер HTTP-данных перемещался вперед и назад в разумном размере.Я не уверен, что идентичные наборы ключей / значений имеют идентичные сериализованные значения, но если яизвлекать и сохранять значение cookie в одном сеансе, могуt Я передаю то же самое, хотя и зашифрованное, значение в другой сеанс в другое время, и заставляю сервер полагать, что это подлинные значения переменных сеанса? Что пользователю разрешено делать за один деньЭто означает, что то же самое разрешено в другой день. И если эти значения переменных сеанса должны быть постоянно защищены, то какая польза от их хранения?в кеше совсем? Тогда они служат чуть больше цели, чем позволяют нам использовать красивые GET URL-адреса (то есть вместо уродливой строки запроса с некоторыми параметрами)

Поэтому, возможно, ответ, который я ищу, - это ограничения сеансов на стороне клиента Flask с учетом возможной атаки «человек посередине» (конечно, для незащищенных сеансов http) или опытного злоумышленника, который хранит значения файлов cookie. для передачи их обратно в более позднее время.