2
A
回答
7
他可以通過檢查cookie來查看會話ID(禁用cookies通常甚至會將其作爲GET參數附加到每個鏈接上)。
所以不行,他不能用自己的自己的會話ID做任何壞事。
3
我不認爲會出現一個重大的安全問題,通過顯示用戶自己的會話ID,因爲此ID是每次訪問生成。只要該會話ID沒有提供給其他人,它也不屬於你,你應該很好。
相關問題
- 1. 是codeigniter會話安全嗎?
- 2. 公開AWS Cognito ID是否安全?
- 3. PHP會話足夠安全以便自己登錄嗎?
- 4. ASP.NET會話訪問技術是多用戶安全的嗎?
- 5. 公開mongodb和安全性的ID
- 6. 在URL中公開自動遞增ID是否安全
- 7. 爲什麼會話ID cookie不安全
- 8. Google App Engine:公開透露用戶的user_id安全嗎
- 9. PHP是安全的會話
- 10. 是匿名會話安全嗎?
- 11. user_Id會話安全嗎? Hartl
- 12. ServerSide會話安全嗎?
- 13. 使用會話ID在安全網頁上驗證用戶
- 14. 向其他用戶公開OpenID鏈接安全嗎?
- 15. 這是會話變量的安全使用嗎?
- 16. Cookie是會話的通用安全實現嗎?
- 17. 我可以通過我自己設置會話ID嗎?
- 18. 使用GET變量檢查用戶登錄會話安全嗎?
- 19. 使用SQLAlchemy與引擎/連接而不是會話是線程安全的嗎?
- 20. PHP會話是否安全?
- 21. WCF會話是否安全?
- 22. mysql自動增量安全地用作用戶ID嗎?
- 23. 會話用戶ID?
- 24. 多用戶安全shell會話共享
- 25. PHP安全會話和用戶登錄
- 26. 會話ID驗證 - 安全 - 離子/角
- 27. 如何安全地存儲會話ID
- 28. 會話安全
- 29. CSRF驗證令牌:會話ID安全嗎?
- 30. 保持MVC中會話中的用戶信息不安全
另外值得一提的是,如果用戶的Cookie被禁用並且設置了session.use_only_cookies 1和/或session.use_trans_sid 0,PHP可以在URL中追蹤會話ID。 – 2012-03-30 12:11:30
這就是我的意思,「禁用cookies通常甚至會將其作爲GET參數附加到每個鏈接」 – ThiefMaster 2012-03-30 12:51:47
默認配置通常不會在沒有cookie的情況下追加它,因爲用戶可能會在其中使用會話ID進行書籤/傳輸鏈接。 – 2012-03-30 14:18:47