Beginnend mit dem Lernen von PythonFlasche Das Web-App-Framework befindet sich noch in der Lernphase. Bitte nehmen Sie Kontakt mit mir auf.

Ich frage mich, wie geeignet die clientseitigen Sitzungen für sichere Webanwendungszwecke sind. Nach allem, was scheint, gibt es einige ernsthafte Bedenken:

Da alle Sitzungsvariablen serialisiert und in einem Cookie codiert sind, sollte darauf geachtet werden, wie viele Daten dort gespeichert werden, damit die Größe der hin- und hergehenden http-Daten in angemessener Größe bleibt.Ich bin nicht sicher, ob identische Schlüssel- / Wertesätze identische serialisierte Werte haben, aber wenn ich in einer Sitzung einen Cookie-Wert abrufen und speichern würde, kann ich nicht denselben, wenn auch verschlüsselten Wert in einer anderen Sitzung zu einer anderen Zeit zurückgeben , und den Server glauben lassen, dass es sich um echte Sitzungsvariablen handelt? Was Benutzer an einem Tag tun dürfen, bedeutet nicht, dass das Gleiche an einem anderen Tag erlaubt ist. Und wenn diese Sitzungsvariablenwerte die ganze Zeit sicher geprüft werden müssen, was nützt es dann, sie überhaupt "im Cache" zu halten? Dann dienen sie kaum mehr als der Erlaubnis, hübsche GET-URLs zu verwenden (dh anstelle einer hässlichen Abfragezeichenfolge mit einigen Parametern).

Vielleicht ist die Antwort, nach der ich suche, die Begrenzung der clientseitigen Flask-Sitzungen, unter Berücksichtigung möglicher Man-in-the-Middle-Angriffe (natürlich für nicht sichere http-Sitzungen) oder fortgeschrittener böswilliger Benutzer, der die Cookie-Werte speichert für die spätere Weiterleitung.