Rozpoczęcie nauki języka PythonKolba ramy aplikacji internetowych, wciąż na krzywej uczenia się, więc proszę o wyrozumiałość.

Zastanawiam się, jak odpowiednie są sesje po stronie klienta do celów bezpiecznej aplikacji internetowej. Z tego, co się wydaje, istnieją poważne obawy:

Ponieważ wszystkie zmienne sesji są serializowane i kodowane w pliku cookie, należy uważać, ile danych tam przechowuje, aby zachować rozmiar danych http podróżujących tam iz powrotem w rozsądnym rozmiarze.Nie jestem pewien, czy identyczne zestawy kluczy / wartości mają identyczne wartości w serializacji, ale jeśli pobrałbym i zapisałem wartość cookie w jednej sesji, czy nie mogę podać tej samej, aczkolwiek zaszyfrowanej wartości, z powrotem w innej sesji w innym czasie i spraw, by serwer wierzył, że są to prawdziwe wartości zmiennych sesji? To, co użytkownik może zrobić w ciągu jednego dnia, nie oznacza, że ​​to samo można pozwolić na kolejny dzień. A jeśli te wartości zmiennych sesji muszą być cały czas zabezpieczone przed atakiem, to co dobrego jest w utrzymywaniu ich w pamięci podręcznej? Następnie służą niewiele więcej niż pozwolenie nam na używanie ładnych adresów URL GET (tj. Zamiast brzydkiego ciągu zapytania z niektórymi parametrami)

Tak więc, być może szukam odpowiedzi, to ograniczenia sesji klienckich po Flask, biorąc pod uwagę możliwy atak man-in-the-middle (oczywiście dla niezabezpieczonych sesji http) lub zaawansowany złośliwy użytkownik, który przechowuje wartości cookie do przekazywania ich z powrotem w późniejszym czasie.