<p dir="ltr">Heya</p>
<p dir="ltr">With the given examples each entity had their own password/key/secret, so a breach means one node is secure, rather than all of them. Additionally each piece of functionality can require different permissions, and not all nodes can have permissions to request all tasks, so the scale of the potential damage done is lower.</p>
<p dir="ltr">Additionally one can rotate those values easily, this seems like it would be much harder to do with cookies.</p>
<p dir="ltr">Cheers,<br>
Louis</p>
<div class="gmail_quote">On 10 Jun 2016 05:33, "zxq9" <<a href="mailto:zxq9@zxq9.com">zxq9@zxq9.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2016年6月9日 木曜日 22:44:57 Louis Pilfold wrote:<br>
> Hi!<br>
><br>
> In the event that the cookie is your only security, what do you do<br>
> when your cookie gets out?<br>
><br>
> Event if you cookie is not guessable, there is still a chance that<br>
> through malicious act or human error a trusted person within your<br>
> organisation shares your cookie with others. I've not got the evidence<br>
> to hand, but while preparing for security audits at a previous<br>
> workplace our trainer told us that most security breaches are due to<br>
> the actions of people within the organisation rather than outside of<br>
> it. This seems very plausible to me.<br>
<br>
People are almost always easier to manipulate or catch in error than<br>
systems are to crack through exploitation of technical flaws.<br>
<br>
How is this not exactly the same as a password? Or AWS credentials?<br>
Or a secret key? Or any other of a host of similar schemes?<br>
<br>
-Craig<br>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div>