Começando a aprender o PythonBalão estrutura de aplicativo da web, ainda na curva de aprendizado, então, por favor, tenha paciência comigo.

Eu estou querendo saber como apropriado são as sessões do lado do cliente para fins de aplicação segura na web. Pelo que parece, há algumas preocupações sérias:

Uma vez que todas as variáveis ​​de sessão são serializadas e codificadas em um cookie, deve-se ter cuidado com a quantidade de dados que eles armazenam lá, a fim de manter o tamanho dos dados http viajando para frente e para trás em tamanho razoável.Não tenho certeza se conjuntos idênticos de chave / valor têm valores serializados idênticos, mas se eu buscar e armazenar um valor de cookie em uma sessão, não posso alimentar o mesmo valor, embora criptografado, em outra sessão em outro momento , e fazer o servidor acreditar que esses são valores de variáveis ​​de sessão genuínos? O que o usuário pode fazer em um dia não significa que a mesma coisa seja permitida em outro dia. E se esses valores de variáveis ​​de sessão tiverem que ser seguros o tempo todo, o que é bom mantê-los "em cache"? Então eles servem um pouco mais de propósito do que nos permitir usar URLs GET bonitas (ou seja, em vez de uma string de consulta feia com alguns parâmetros)

Então, talvez a resposta que eu esteja procurando, sejam os limites das sessões do lado do cliente do Flask, considerando possível ataque man-in-the-middle (para sessões HTTP não seguras, é claro) ou usuário mal-intencionado avançado que armazena os valores do cookie para retransmiti-los no futuro.