У меня есть сервер Apache 2.4, настроенный с помощью mod_auth_form, mod_sessionи mod_session_cryptoдля шифрования содержимого cookie сеанса.
Если я не ошибаюсь, шифрование по умолчанию должно использовать OpenSSL и aes256 шифр. Это асимметричный шифр, который использует закрытый и открытый ключи. Я не совсем понимаю директиву SessionCryptoPassphrase. Для чего именно используется эта парольная фраза? В документации указано следующее:
Директива SessionCryptoPassphrase определяет ключи, которые будут использоваться для включениясимметричныйшифрование содержимого сеанса перед записью сеанса или расшифровка содержимого сеанса после чтения сеанса.
Наконец, мой вопрос: насколько безопасны куки, зашифрованные таким образом? Они по-прежнему содержат имя пользователя и пароль, только они зашифрованы. Может ли хакер взломать это и получить доступ к данным внутри? Позволит ли хакеру знание этой парольной фразы получить информацию внутри куки?
решение1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156используетhttps://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14который генерирует ключ из предоставленной парольной фразы. Я не совсем понимаю, как устанавливается/определяется IV, но они, по крайней мере, используют режим CBC, так что это, похоже, достаточно безопасно.
К сожалению для меня, я хотел бы поделиться cookie-файлом с другим бэкэнд-приложением, и попытка использовать его, mod_session_dbdпохоже, проще, чем точная копия KDF, даже с той же парольной фразой.