[英]Security of Cookie-based sessions
我需要一些有關基於cookie的會話如何工作的說明。 我正在構建一個用於對用戶進行身份驗證的應用程序,並且在成功通過身份驗證后,我將一個標識其用戶的GUID粘貼到會話中,該會話繼而被保存為cookie。 現在,當用戶登錄時,如何防止某人嗅探流量,竊取用戶cookie的內容並在自己的一端創建cookie並以該人身份登錄我的網站? 另一種情況是,如果我可以物理訪問該用戶登錄的計算機,那么我還可以竊取Cookie的內容並模擬為用戶。
怎樣防止某人嗅探流量,竊取用戶Cookie的內容並在自己的一端創建Cookie並以該人身份登錄我的網站?
SSL-停止此操作的唯一方法是在HTTPS上運行您的網站。
我可以實際訪問該人登錄的計算機
一旦擁有對計算機的物理訪問權限,您所有的安全方法都將成為現實。 您對此無能為力。
我想你在這里有兩個問題。 關於第二個,您不應該將會話密鑰存儲在cookie中,並且要比會話保留更長的時間,將cookie上的超時設置為快速過期,並在合理的時間內盡快使服務器上的會話失效並且cookie變為無用。 如果您通過網絡傳遞重要信息,請使用https。
閱讀此: http : //www.linuxforu.com/2009/01/server-side-sessions/
花費了幾秒鍾的時間進行谷歌搜索,這篇文章回答了您有關防止某人監聽流量,竊取用戶cookie的內容並在自己的一端創建cookie並以該人身份登錄到您的網站的問題。
在基於Cookie的會話存儲的Rails中,會話和cookie是一回事
[英]In Rails, with cookie-based session store, are session and cookies the same thing
如何在Rails中動態設置基於cookie的會話的到期時間
[英]How to I dynamically set the expiry time for a cookie-based session in Rails
Rails基於cookie的會話:將會話范圍與到期時間混合
[英]Rails cookie based sessions: mixing session scope with expiration times
Rails3 / Sessions / Active_Record_Store / Signout - >如何刪除會話表中的cookie和記錄?
[英]Rails3 / Sessions / Active_Record_Store / Signout --> How to delete the cookie and the record in the Sessions table?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
