Le stockage en nom d'utilisateur cookie pour augmenter cacheability?

Question

Utilisation: PHP, Symfony 1.4, Doctrine, sfGuard

J'ai un site où la majorité des pages pourrait être mis en cache sous forme de pages HTML complets. Mais il y a la « barre d'outils de compte utilisateur » traditionnel qui apparaît en haut à droite de la plupart des sites (montre les nom d'utilisateur connecté, etc lien de déconnexion.)

Cela empêche évidemment la page d'être pleinement mis en cache en HTML, donc je prévois sortir la page HTML standard et en ajoutant le nom d'utilisateur, etc. après chargement de la page, via Javascript.

Lorsque l'utilisateur se connecte, je vais créer un cookie supplémentaire stockant simplement le nom d'utilisateur. Javascript peut alors vérifier si le cookie existe et créer la barre d'outils de compte. Le nom d'utilisateur ne sera utilisé à des fins d'affichage. Pour réellement connecter les utilisateurs devront passer par la page de connexion normale, en utilisant leur mot de passe, etc.

Je l'ai cherché pour les blogs etc sur cela, mais pas trouvé beaucoup. Quelqu'un peut-il identifier toute sécurité ou d'autres préoccupations avec cela?

Answer 1

Tant que le nom d'utilisateur est utilisé uniquement à des fins d'affichage, vous devriez être en or. vous pouvez utiliser un Alternatly XHR pour saisir le nom d'utilisateur à partir de $ _SESSION PHP.

Mes préoccupations sont que vous souhaitez utiliser le nom d'utilisateur pour authentifier l'utilisateur. Ou en utilisant le nom d'utilisateur comme clé pour accéder à votre cache, où en changeant le nom d'utilisateur donnerait un accès à un autre attaquant est cache.

Answer 2

Vous ne devriez jamais, jamais stocker quoi que ce soit sensible dans un cookie. Pour moi, cela inclut les noms d'utilisateur.