基于Cookie的会话的安全性
我需要澄清基于cookie的会话是如何工作的。 我正在构建一个我对用户进行身份validation的应用程序,并且在成功进行身份validation后,我会将一个GUID标记为他的用户进入会话,然后将其作为cookie保留。 现在,当用户登录时,是为了防止有人嗅探流量,窃取用户cookie的内容并在自己的端创建cookie并以该人身份登录我的网站? 另一种情况可能是,如果我可以物理访问该人登录的计算机,我还可以窃取cookie的内容并以用户身份进行模拟。
是什么阻止某人嗅探流量,窃取用户cookie的内容并在自己的端创建cookie并以该人身份登录我的网站?
SSL – 阻止它的唯一方法是在HTTPS上运行您的网站。
我可以物理访问该人登录的计算机
一旦您对机器进行物理访问,所有安全方法都没有实际意义。 你无能为力。
我想你在这里有两个问题。 关于第二个,您不应该将会话密钥存储在cookie中并使其保持比会话更长的时间,将cookie上的超时设置为快速到期并在合理时尽快使服务器上的会话失效并且cookie变为无用。 如果您通过电汇流动重要信息,请使用https。
阅读本文: http : //www.linuxforu.com/2009/01/server-side-sessions/
花了几秒钟谷歌搜索这篇文章回答你的问题,关于防止有人嗅到流量,窃取用户的cookie的内容,并在自己的一端创建一个cookie,并以该人身份登录您的网站。