El almacenamiento de nombre de usuario en cookies para aumentar el almacenamiento en caché?

Question

Uso: PHP, Symfony 1.4, la doctrina, sfGuard

Tengo un sitio donde la mayoría de páginas podría ser almacenado en caché como páginas HTML completas. Pero no es el tradicional 'barra de herramientas de cuenta de usuario' que aparece en la parte superior derecha de la mayoría de los sitios (los espectáculos registran en nombre de usuario, cierre de sesión enlace etc.)

Esto evita que, obviamente, la página de ser plenamente en caché como HTML, así que planeo dar salida a la página como HTML estándar y añadiendo el nombre de usuario, etc. después de carga de la página, a través de JavaScript.

Cuando el usuario inicia una sesión, que creará una cookie de almacenamiento adicional sólo el nombre de usuario. Javascript a continuación, puede comprobar si existe la cookie y crear la barra de herramientas cuenta. El nombre de usuario sólo se utilizará para fines de visualización. Con el fin de iniciar la sesión en realidad los usuarios tendrán que pasar por la página de inicio de sesión normal, utilizando su contraseña, etc.

He buscado para las entradas del blog, etc en esto, pero no encontré mucho. ¿Alguien puede identificar cualquier preocupación de seguridad o de otro tipo con esto?

Answer 1

Mientras el nombre de usuario se utiliza sólo con fines de exhibición debe ser de oro. Alternatly Se podría utilizar un XHR para agarrar el nombre de usuario de $ _SESSION de PHP.

Mis preocupaciones son que usted estaría utilizando el nombre de usuario para autenticar a dicho usuario. O utilizando el nombre de usuario como clave para acceder a la memoria caché, donde al cambiar el nombre de usuario daría a un atacante acceder a otro es la caché.

Answer 2

Se debe nunca, nunca guarde nada sensible en una cookie. Para mí, que incluye los nombres de usuario.