Coocheabilityを増やすためにCookieにユーザー名を保存しますか?
質問
使用:PHP、Symfony 1.4、Doctrine、SFGuard
ページの大部分を完全なHTMLページとしてキャッシュできるサイトがあります。ただし、ほとんどのサイトの右上に表示される従来の「ユーザーアカウントツールバー」があります(ユーザー名、ログアウトリンクなどに記録されていることを示しています)
これにより、ページがHTMLとして完全にキャッシュされることを明らかに防止するため、ページを標準のHTMLとして出力し、ページロード後、JavaScriptを介してユーザー名などを追加することを計画しています。
ユーザーがログインすると、ユーザー名のみを保存する追加のCookieを作成します。 JavaScriptは、Cookieが存在するかどうかを確認し、アカウントツールバーを作成できます。ユーザー名は、表示目的でのみ使用されます。実際にログインするには、ユーザーはパスワードなどを使用して、通常のログインページを実行する必要があります。
私はこれについてブログの投稿などを検索しましたが、あまり見つかりませんでした。誰もがこれに関するセキュリティやその他の懸念を特定できますか?
解決
ユーザー名が表示目的でのみ使用されている限り、ゴールデンである必要があります。代わりに、XHRを使用して、PHPの$ _Sessionからユーザー名をつかむことができます。
私の懸念は、ユーザー名を使用してそのユーザーを認証することです。または、ユーザー名をキーとして使用してキャッシュにアクセスします。ユーザー名を変更すると、攻撃者が他のキャッシュにアクセスできます。
他のヒント
クッキーに敏感なものを保管してはいけません。私にとって、それにはユーザー名が含まれます。