¿Por qué las sesiones son más seguras que las cookies?

1. Si la sesión y la cookie son igual de seguras, no deberían existir al mismo tiempo. Siempre que la cookie sea buena, permita que el cliente comparta la carga del servidor y sea transparente para el usuario. ¿por qué no?

2. El ID de la sesión se coloca en la cookie. Si desea interrumpir la sesión, primero debe interrumpir la cookie. Después de romper la cookie, se debe obtener el ID de sesión. El ID de sesión solo está disponible cuando alguien inicia sesión o inicia session_start. No sabes cuándo alguien iniciará sesión, por lo que incluso si secuestras la cookie, no necesariamente contendrá el ID de la sesión.

3 En segundo lugar, el ID de sesión está cifrado (se devuelve después de haber sido cifrado por el servidor. Utilice el marco web de Python y secret_key en Django para el cifrado. Por supuesto, también puede configurar la sal de cifrado manualmente). Cuando comienza la segunda sesión, el ID de sesión anterior es inútil (porque el salt cifrado contiene información como la marca de tiempo).

4. Cuando la sesión expire, el ID de sesión también dejará de ser válido, por lo que es difícil descifrar el ID de sesión cifrado en poco tiempo. La sesión es para una determinada comunicación. Cuando finaliza la sesión, la sesión desaparece. La cookie real reside en un archivo de texto en el disco duro del cliente, por lo que es obvio quién está a salvo.

5. Si la sesión es tan fácil de romper y tan insegura, creo que la mayoría de los sitios web existentes no son seguros.