Eu tenho um servidor Apache 2.4 configurado com mod_auth_forme para criptografar o conteúdo do cookie da sessão mod_session.mod_session_crypto
Se não me engano, a criptografia padrão deve usar OpenSSL e cifra aes256. Esta é uma cifra assimétrica que usa chaves privadas e públicas. Não compreendo muito bem a SessionCryptoPassphrasedirectiva. Para que exatamente essa senha é usada? Os documentos afirmam o seguinte:
A diretiva SessionCryptoPassphrase especifica as chaves a serem usadas para habilitarsimétricocriptografia no conteúdo da sessão antes de gravá-la ou descriptografar o conteúdo da sessão após lê-la.
Por fim, minha pergunta é: quão seguros são os cookies criptografados dessa forma? Eles ainda contêm o nome de usuário e a senha, mas estão criptografados. Um hacker pode decifrar isso e obter acesso aos dados contidos nele? O conhecimento desta senha permitirá que o hacker obtenha as informações contidas nos cookies?
Responder1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156usahttps://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14que gera a chave a partir da senha fornecida. Não estou claro como o IV é definido/determinado, mas eles usam pelo menos o modo CBC, então parece ser seguro o suficiente.
Infelizmente para mim, gostaria de compartilhar o cookie com outro aplicativo de back-end, e tentar usá-lo mod_session_dbdparece ser mais fácil do que replicar exatamente o KDF, mesmo com a mesma senha.