任何人都可以轻松获取您的 $_COOKIE 数据吗？

Question

他们所需要的只是您的 cookie 文件，然后服务器就会授予他们 cookie 存储的任何访问权限吗？或者还有比这更多的事情吗？因为我计划对一些 cookie 数据进行 MD5 处理，但希望确保某人不容易获取并模仿该数据。

Answer 1

你的问题令人困惑。 Cookie 是存储在客户端计算机上的信息，每次请求时都会发送到服务器（通常是指示客户端存储它的请求，但不一定）。

因此，任何在服务器将 cookie 发送到客户端（用于存储）或客户端发送到服务器时拦截 cookie 的人都可以重现 cookie（因此，服务器将获取 $_COOKIE 的值） ）。

不幸的是，cookie 经常存储的信息一旦被拦截，攻击者就可以冒充其他用户。为了避免拦截，必须使用https。对于偶然的攻击者来说，拦截并不是小事（除了未受保护的 WiFi 网络），但对于政府、ISP 和网络管理员来说，拦截却是触手可及的。

但你的问题引起了更大的担忧：

因为我计划对一些 cookie 数据进行 md5，但希望确保其他人不容易获取并模仿该数据。

根据这到底意味着什么，这可能是一个非常不安全的设置。任何客户端都可以伪造 cookie，即，即使服务器从未告知特定客户端存储该 cookie，也可以发送 cookie。因此，如果您正在执行类似 md5('is_admin:1') 之类的 cookie 值存储之类的操作，请注意，任何人都可以伪造该数据，尽管有 md5 哈希值（只要他可以推断出其值）格式）。

Answer 2

是的，每个嗅探任何人 cookie 的人都可以使用它们，除非您使用 https 协议。然而，即使是 FTP 并且攻击者可以直接访问该机器，他也可以毫无问题地使用这些 cookie。您可以通过 https 保护它们或检查 IP 地址/确切的用户代理匹配。

Answer 3

cookie 只是客户端作为请求的一部分发送到服务器的东西。那么（理论上），可以将其从一个浏览器传输到另一个浏览器，在某个中央位置同步它，等等。如果某人能够读取另一个人的 cookie，那么该人完全能够“窃取”凭据。

在这种特殊情况下，可以通过使用 HTTPS 加密协议来增加很多安全性。但是，即使如此，根据浏览器的实现，如果用户的计算机受到损害并且 cookie 文件本身被复制，理论上也有可能被突破。当然，如果用户的计算机受到损害，实际上无能为力。

最好的选择是使用 HTTPS。一旦完成，您就已尽一切努力来保护连接和与之相关的 cookie。

Answer 4

是的，通常只需要会话令牌 cookie。在大多数应用程序中，如果会话令牌被泄露，则会话可能被劫持并且用户可能被冒充。

回答你的第二个问题，cookie 被拦截和泄露可能非常容易，也可能非常困难。取决于你如何保护它们。

保护 cookie 的主要防御措施是使用 SSL/TLS 加密客户端和服务器之间的连接。如果您在没有 SSL/TLS 的情况下传输 cookie，则同一网络上的任何人或可以看到两者之间网络的人都可以以明文形式看到该 cookie 并使用它。因此，如果您关心 cookie 安全性（和会话安全性），请使用 SSL/TLS。

我很好奇。

“因为我计划 md5 一些 cookie 数据，但想确保它不是
人们很容易获取这些数据并模仿它。”

这有什么意义？如果您想确保 MD5 数据受到保护，为什么要将其存储在 cookie 中？如果需要保护，则需要留在服务器上。