cookie 的安全性

Question

如果我注册一个网站，并且该网站向我发送了一个 cookie，其中包含可以识别我身份的 ID，那么其他人如果掌握了该 cookie，是否可以冒充我？
如果其他人知道 cookie 的格式并猜出 ID，他们可以通过这种方式冒充我吗？
此外，任何讨论这些事情的材料都会受到赞赏。

Answer 1

这两个问题的答案都是合格的“是”。但是，这两种模仿都可能变得非常困难。使得从 cookie 中窃取会话 ID 变得困难的事情：

1. 使用 https。您和服务器之间的所有通信都经过加密，并且非常难以破解。

2. 如果服务器使用 PHP 会话，则 cookie 中的 ID 很长且难以猜测。

3. 即使没有这些，拦截 cookie 也很困难，因为犯罪者必须让他/她的计算机监听您的 IP 地址或服务器 IP 的传输。

最好的安全性是长 ID（类似于 PHP 会话）与 https 的使用相结合。

如果您正在开发，这里有一些很好的信息：http://thinkvitamin .com/code/how-to-create-totally-secure-cookies/