基于cookie存储的加密session有什么风险？

4KB限制

@qiayue 如果别人能通过某种方法得到了一个管理员的所有cookie键值，那是不是全部暴露了？
一般用什么方法阻止这种伪造cookie？

@qiayue 或者说一般用什么方法确定一个新的session（类似session_id生成）

@kran md5验证 + https = 安全

基于http only的cookies是无法被js读取的，别人怎么获得？ 除非电脑被黑客种了木马， 那任何方法都不能避免。

把IP也编码进去不就可以防止别人拿了管理员的cookie去别的电脑上操作。

@kran 如果cookie被劫持的话无论你是服务端存储session还是cookie存session,那还不是一样的暴露？当然除非你的session id是写在url里的token。

安全应该走https吧
如果仅http，如果其他人得不到加密的key的话，那目标客户端是如何得到key的呢

很有技巧性……特别是要做到让非法状态不可表示……

@yushiro 那就假设别人能直接监视浏览器cookie好了。。。^_^（我不太懂cookie伪造，应该有很多途径吧，毕竟是在客户端）

@love 用ip的话是个办法，但是现在移动端网络总是切来切去的，很容易让session都失效

@Shieffan 不是的，虽然对方得到session，但是因为是加密的所以得不到内容，目的是让换了终端后能识别这种“假”的cookie，然后生成全新的session

@wodemyworld 客户端不负责解析session，都在服务器端完成，只是基于cookie存储

@bombless 恩，蛮有意思的

@kran 我是觉得你这问题问的不对，什么叫“基于cookie存储的加密session”，除了直接把session id写在url里外，其它类型的session不都是基于cookie的么？

风险的话，既然是session(会话)，那么它暗含的意思里就是时效短，你设置cookie里的session id的生命周期为浏览器生命周期，这样可以有效防窃取。

我觉着LZ的意思是要把session当cookie用，如果你服务端不维护一个有效session数据库，那你这session就是纯粹的cookie啊，要提高cookie的安全性，就那几种方法，http only防止被js代码获取，有效防止XSS; session id由客户端ip, 浏览器特征等客户端特征进行加密生成。

安全性跟便捷性往往就是冲突的，只能看你取舍了。

@Shieffan 。。。咱们说的不是一回事儿，session_id一般存储在cookie或者url里，没错的。但是session的内容一般存储在服务器上，是吧？现在我希望使用cookie来存储session的内容。把加密后的session存储在cookie里，但是安全上没有保障（现在整体都基于cookie而不使用session的认证系统都不存在了吧）。

现在问题的目的是识别非法请求。

@Shieffan 差不多了，是不想维护一个服务端的存储，但是问题的目的不是提高cookie的安全性，是提高session有效性验证的系数，sessionid由客户端生成的话，会死的很惨。

@kran 所以说你这问题就是判断session id是否非法啊，这跟你session内容怎么存一点儿关系都没啊？无论你session内容是存在服务器还是加密存在cookie里，你都是要把session id存在cookie里呀

@Shieffan 对的对的，判断sessionid是否合法。

@kran
假设存在中间人，http无论你加不加密，无论cookie是谁生成的，无论cookie里面存的是什么，都防止不了中间人伪造身份。

假设不存在中间人，加密足够强壮，客户端无法得到/破解出key，那么你往里面存任何东西都是安全的，不可伪造的。于是仅用cookie保存你所谓的session没有任何问题。

@binux :D 我太喜欢你说话那个确定的劲儿了！

@binux 没有中间人， 可以有XSS

最大的安全隐患应该就是密钥失窃后，只要密钥不改，窃得密钥的人就可以在任意时间地点伪造或者修改 session 内容。