Flask сеансы на стороне клиента

Начинаем изучать Pythonколба фреймворк для веб-приложений, все еще на стадии изучения, поэтому, пожалуйста, потерпите меня

Мне интересно, насколько уместны сеансы на стороне клиента для целей безопасного веб-приложения. Из того, что кажется, есть некоторые серьезные проблемы:

Поскольку все переменные сеанса сериализуются и кодируются в cookie-файле, следует быть осторожным с тем, сколько данных они там хранят, чтобы размер HTTP-данных перемещался туда и обратно в разумных пределах.Я не уверен, что идентичные наборы ключей / значений имеют идентичные сериализованные значения, но если я получу и сохраню значение cookie в одном сеансе, я не смогу передать это же, хотя и зашифрованное, значение в другой сеанс в другое время и заставить сервер поверить, что это подлинные значения переменных сеанса? То, что пользователю разрешено делать в один день, не означает, что то же самое разрешено в другой день. И если эти значения сеансовых переменных должны постоянно защищаться, что хорошего в том, чтобы вообще держать их в кэше? Тогда они служат чуть больше цели, чем позволяют нам использовать красивые GET URL-адреса (то есть вместо уродливой строки запроса с некоторыми параметрами)

Поэтому, возможно, ответ, который я ищу, - это ограничения сеансов на стороне клиента Flask с учетом возможной атаки «человек посередине» (конечно, для незащищенных сеансов http) или опытного злоумышленника, который хранит значения файлов cookie. для передачи их обратно в более позднее время.

Ответы на вопрос(1)

Ваш ответ на вопрос