请问用cookie记住密码一般加密吗?发现chrome浏览器的保存密码是明文的
短答案:不用加密。
长答案:对安全性要求苛刻的站点,cookie应该记录用户的session,一定时间内过期,甚至用户关闭网页后就过期,绝不应该在cookie记录用户的密码。
既然你希望实现用cookie记住密码的功能,那就说明你的站点对安全性要求极低,既然如此,没有必要再作什么加密。
另外chrome是加密的,只是在密码管理里面明文显示而已。它是使用你Windows的登录密码加密的,还是比较安全的。
如果别人利用工具重设你的Windows密码,那就无法解密chrome保存的密码——如果你用google同步账户密码的话,在知道google密码或者你设定的同步密码的情况下,可以从 google服务器上取回密码信息,如果没设同步,那你chrome本地保存的密码就基本丢失了(除非你不设Windows登录密码,这种情况下chrome是不加密的——背后的逻辑是既然你连登录密码都不设了,那么要不然你确信你的机器是绝对地或者近乎绝对地物理安全的,要不然你不在乎那些信息。)
你没搞清楚网站的「记住密码」和浏览器的「记住密码」的差别。
火狐记住的密码是可选加密的,你可以到设置页面设置一个主密码,以后每次启动后需要访问已保存的密码时都需要正确的主密码。查看已保存的密码时也需要再输入一次。忘记此密码可以以放弃所有已保存的密码的代价重置。这个主密码,和 weakish 说的 Google Chrome 在 Windows 上的处理不一样,它是平台无关的。只要你记得你的主密码,你可以把你的火狐配置拿到任意火狐能够运行的地方使用。(PS: 火狐的同步功能也是本地加密的,所以即使你把数据同步到 Mozilla 的服务器上,他们也看不到你的数据的内容。)
网站的「记住登录」功能是设置一个特殊的 cookie,也就是网站能够访问的、存储在你的浏览器数据库中的信息。通常,取得此 cookie(及相关的其它信息)则可以你的身边进行访问。但是,这个 cookie 是有时效性的,比如很多网站的「记住登录」功能只会保持几天。通过此 cookie 无法取得用户的密码甚至是用户名等信息(如果网站方设计得当的话)。
没弄错的话,火狐对 cookie 的保存没有加密。
我一般开发中,这里的缓存值都是用aes加密的。数据库也从来不存明文。
你会做Web上的用户登录功能吗? by 陈皓(coolshell)
记住密码实质上是对Cookie的保存设置一个Expires, 比如1周后过期,就是Expires = 86400 * 7 秒后的时间
因此记住密码与不记住密码时密码保存是否为明文只由Session与Cookie的映射算法决定,一般是由框架实现的,上层应用层不用关心的
By the way, Chrome记录的密码只有在提交表单前进行加密才能绕过明文而在Chrome中记录为密文