如果能够拿到你的Cookie,那么可以完成以下事情:
- 任意的发帖回帖评分发送私聊消息.
- 任意查看你的个人信息和隐藏内容.
- 任意修改你的个人信息和帖子内容.
- 装作就是你本人接管你的论坛生活.
- And more More MORE.
但是唯独这两件事情不能完成:
- 修改你的密码.
- 任何需要输入密码的操作(如积分兑换).
所以,你的Cookie是这样保存的:
- 验证你的Cookie是否合法.
- 通过HTTPS加密上传到前端服务器.
- 前端服务器使用AES-256加密你的Cookie后通过HTTPS上传到任务服务器,任务服务器会验证这个Cookie确实来自前端服务器.
- 任务服务器验证Cookie是否属于该账号,若不属于,则抛弃.
- 将Cookie存入外部无法直接访问的文件内.
你的Cookie存入任务服务器后将无法被再次取出,仅能由任务系统读取使用.