Importance de la session de la clé secrète dans l'Express framework web

Je suis assez confus par l'importance d'une session secret. Je suis les sauts dans le développement web avec l'Express et le Nœud, et en ce moment, je suis en train de mettre en œuvre une connexion simple. Le code ci-dessous est tiré de la des séances d'exemple dans l'Express.

//Required by session() middleware
//pass the secret for signed cookies
//(required by session())
app.use(express.cookieParser('keyboard cat'));

//Populates req.session
app.use(express.session());

Il utilise "keyboard cat" comme une séance secrète. Beaucoup de choses que je ai regardé autour séance secrets me recommander de changer pour quelque chose de personnalisé. J'ai maintenant 3 questions spécifiques à ce sujet.

  1. Pourquoi n'ai-je pas vu ça avant, quand je travaillais avec PHP?
  2. Qu'est-ce que la session secrète utilisée pour exactement?
  3. Disons que j'ai changer la clé de session. Mon code est open source. Ne pas changer ce être un peu redondant dans ce cas? Je ne vois pas demander à l'utilisateur d'une clé personnalisée en option.
  4. Je pensais de la génération aléatoire UUID pour remplir la clé. Sont-il des problèmes avec ça? (en termes de sécurité)
  • Je pense que la réponse est à côté de l'essentiel, qui est de savoir si la secret est de faire des séances plus sécurisé. Je vous recommandons de visiter le security.stackexchange.com/questions/92122/... pour une discussion plus approfondie (pas seulement le haut voté réponse est pertinente).
  • J'ai trouvé ce lien pour être très instructif. Seriez-vous prêt à ajouter votre commentaire est une réponse?
InformationsquelleAutor gluxon | 2013-09-02
  1. 7

    Je pense que le point principal est raté dans les autres réponses, qui est de savoir si la secret paramètre est de faire de la gestion de session la plus sécurisée. il est discuté de bien dans cette Sécurité.StackExchange question: Pourquoi est-il insécurité pour stocker l'ID de session dans un cookie directement?

    Je recommande de le lire (et pas seulement le haut voté réponse est pertinente).

    Essayer de résumer: il ne réduira pas segnificantly les chances d'une session en cours deviner et détourné dans le cas où le Id de session sont de grands nombres aléatoires, mais il sera bien évidemment aider grandement si le Id de session sont personnalisés comme l'incrémentation des Id, ce qui est possible dans ExpressJS.

    Les utilisateurs peuvent utiliser tous les Id de session qu'ils veulent. Peut-être quelqu'un se sent comme ils devraient utiliser un auto nombre d'incrémentation de la base de données SQL, il n'a pas d'importance, parce que nous protéger leurs décisions mal par la signature de la valeur, s'allongeant la clé.

    InformationsquelleAutor argaz
  2. 37
    1. Parce que PHP n'est pas Nodejs. Gestion de Session en PHP est différente de la gestion de session dans le nœud: nœud ne meurt jamais, contrairement à PHP, qui est constamment invoquée par votre démon du serveur (apache, IIS, qu'avez-vous), a demandé à générer du contenu, puis à la fin de son processus. Le nœud est l'équivalent de Apache plus PHP.
    2. Il est utilisé pour chiffrer le cookie de session de sorte que vous pouvez être raisonnablement (mais pas à 100%) bien sûr, le cookie n'est pas un faux, et la connexion doit être traitée dans le cadre de la session avec express.
    3. C'est pourquoi vous ne mettez pas la chaîne dans votre code source. Vous en faire une variable d'environnement et de la lire comme un processus.env("SESSION_SECRET") ou d'utiliser un .env fichier avec https://npmjs.org/package/habitat, et assurez-vous que ces fichiers ne jamais toucher votre référentiel (svn/git exclusion/ignore), de sorte que vos données secrètes reste secret.
    4. le secret est immuable, tandis que votre nœud de l'application s'exécute. C'est beaucoup mieux de venir avec un long, drôle de phrase qu'un UUID, qui est généralement beaucoup plus courte que "I didn't think I needed a secret, but the voices in my head told me Express needed one".

    Comment j'utilise les sessions:

    .fichier env (toujours dans mon .gitignore fichier de sorte qu'il n'est jamais arrivé sur mon public de titres):

    SECRET="This is my funky secret oh my god it has ninja turtles"

    app.js:

    var express = require('express'),
    env = (function(){
      var Habitat = require("habitat");
      Habitat.load();
      return new Habitat();
    }()),
    app = express();

app.use(express.compress()); //gzip all the things. If possible.
app.use(express.bodyParser());
app.use(express.cookieParser());
app.use(express.cookieSession({
  key: "mysite.sid",
  //seeing this tells you nothing about the actual secret:
  secret: env.get("SESSION_SECRET"),
  cookie: {
    maxAge: 2678400000 //31 days
  }
}));
app.use(express.csrf());

    Que CSRF peu s'assure que les demandes de page sont à venir à partir de votre propre site, pas de roulage dans les demandes ou les intègre dans les sites d'autres personnes. http://expressjs.com/api.html#csrf pour plus d'infos à ce sujet.

    • Je comprends la différence entre PHP et Node.js. Je suis tout simplement pas comprendre pourquoi cette différence de résultat serait différent de la gestion de session. Je sens que PHP génère une session aléatoire secret lorsqu'il s'exécute, ou s'empare d'un de Apache. Comme je l'ai dit, je préférerais ne pas demander à mon utilisateur de définir une session de secret, si possible.
    • Aussi, pourquoi une longue chaîne sera plus sécurisé qu'un un uuid de la chaîne? Ne pas variabilité > longueur?
    • il n'. Un uuid est typiquement de plusieurs caractères chaîne hexadécimale, si vous avez de la chance, ou un long int, si vous n'êtes pas. un Correctement long de la phrase est plus longue, avec un plus grand symbole de domaine. C'est donc plus long et plus varié. Comme pour vos utilisateurs de choisir une session secrète, ils ne sont pas. Vous êtes. Vos utilisateurs ne jamais la voir.
    • Aussi minutieuse que cette réponse est, il manque à la question fondamentale: Quelle est la différence avec la façon dont PHP et node.js gérer les sessions? Cette réponse serait grandement améliorée si elle a abordé que les. (La réponse, bien sûr, à côté client / server-side sessions.)
    • non, la question, la réponse est "PHP utilise $_SESSION, consultez sa documentation sur php.net, et Node.js n'utilise que de l': individuel des cadres, construit sur le haut de Node.js, peuvent ajouter leur propre gestion de session, regarder comment ils le font en leurs de la documentation". PHP ne peut pas le faire en mémoire de serveur de gestion de session côté, car de fonctionnement de PHP: il est demandé d'exécuter un script par un processus pérenne comme IIS/Apache/etc, c'sorties de données, puis il se termine. Node.js d'autre part, est la persistance des processus sur lequel le logiciel serveur est construit.
    • J'ai changé la accepté de répondre à la vôtre, après avoir examiné la réponse de la communauté dans les upvotes. Je suis d'accord avec Kittsil que la réponse pourrait bénéficier d'une explication de client-côté vs côté serveur cookies. Veuillez prendre un coup d'oeil à une autre question sur StackOverflow PHP cookies. Ils ne sont pas dans la mémoire, mais ne persistent sur le côté serveur. stackoverflow.com/questions/454635/... C'est en fait, expresse que ne pas conserver sur le serveur.
    • Je pourrais ajouter que Node.js et PHP sont à la fois capable de faire des cookies côté client et côté serveur. Il est vrai qu'ils ont différents modèles d'exécution, mais cela n'affecte pas leur capacité à gérer les cookies dans les deux sens.
    • Genre à sauter sur ces 2 ans trop tard? Cela dit, je dis "ne pas marquer une réponse comme correcte, parce que la communauté upvotes il". Les Votes de la communauté de la voix, mais en acceptant une réponse est votre voix: vote de celui qui vous trouvé répondu à votre question, parce que c'est ce que le Q&Une structure de Stackoverflow est tout au sujet =)
    • Il a été un certain temps, mais j'ai vu votre réponse à Kittsil et je voulais ajouter des informations. Ma préférence personnelle est que ma propre réponse (tout fait sens pour moi il y a 3 ans) on manque de détail maintenant. Quelle est votre réponse à PHP proposant des cookies côté serveur?
    • aucun, vraiment. vous avez donné un lien que vous avez la pensée est pertinent, donc c'est assez bon pour moi. Si quelqu'un d'autre s'exécute en plus tard et trouve qu'il manque (de manière réactive, pas de manière préventive), ils peuvent demander plus d'informations avec un commentaire.
    • Je pense que cette réponse est à côté de l'essentiel, qui est de savoir si la secret est de faire des séances plus sécurisé. Je vous recommandons de visiter le security.stackexchange.com/questions/92122/... pour une discussion plus approfondie (pas seulement le haut voté réponse est pertinente).
    • cette réponse a été spécifiquement pour le réel questions posées dans le post, pas un tacite par le titre. Pour cela, votre lien est grande.

    InformationsquelleAutor Mike 'Pomax' Kamermans
  3. 3

    Ma confusion était entre côté serveur sessions et côté client sessions. Avant aujourd'hui, je n'avais pas connue du côté client. Une explication claire de la différence est trouvée ci-dessous.

    Pourquoi CherryPy session n'a pas besoin d'une clé secrète?

    Penser à du côté serveur, le modèle, j'ai été très confus où le chiffrement serait nécessaire dans les sessions.

    InformationsquelleAutor gluxon