虽然我非常仔细地阅读了 OWASP,但我不确定我网站的某些部分。
我在我的网站上使用 jbcrypt。它将盐存储在散列本身中,类似于散列+盐。我在某处读到我应该将盐存储在不同的数据库中,否则我将再次受到彩虹表的攻击。
我的框架非常新(Play!framework 2.x),我必须做一些 cookie 管理。该框架提供签名会话。然而,那些“会话”不是会话,它们只是 SessionCookies。我还必须自己在cookies上签名。
用户关闭浏览器后会话 cookie 消失,我需要一个更持久的解决方案。
我做了什么:
如果用户成功登录:
- 我创建一个随机字符串并将其放入我的缓存中
randomstring -> user - 我散列随机字符串并将其放入 cookie 中。
- 现在,如果用户有一个有效的 cookie,我将从 cookie 创建一个“会话”。
我不是 100% 确定这是否正确,但这是我认为正确的。
资源:这种保护 cookie 的方法安全吗?和 www.OWASP.com
- 现在这部分可能很危险。我的源代码中有一个配置文件-> 所有密码都存储在同一个地方。
我找不到任何关于此的内容。我应该在哪里存储这些凭据,例如 AWS 凭据、数据库密码、邮件密码……?