0
A
回答
3
1
在做重要事情之前,您可以要求用戶重新進行身份驗證(再次輸入密碼),例如更改其電子郵件地址。沒有針對會話劫持的防彈保護,您需要選擇以安全爲名犧牲的可用性。
+0
好抓。在我看來,(網絡應用程序)安全中沒有任何防彈保護措施。安全是一個旅程,而不是目的地 – kolossus
相關問題
- 1. 保存PHP會話信息
- 2. 保存會話和cookie中的信息
- 3. 確定會話ID字符串長度以確保唯一性
- 4. 會話和用戶信息
- 5. Codeigniter會話信息
- 6. Oracle會話信息
- 7. 使用ASP.NET MVC檢索會話信息
- 8. 如何在php中使用curl保持會話信息?
- 9. 在哪裏使用Java保存會話信息WS
- 10. 我沒有正確使用rvm - '忘記'新會話信息
- 11. 新會話存儲舊會話信息
- 12. 在PHP會話中保存用戶信息的安全漏洞?
- 13. 保持MVC中會話中的用戶信息不安全
- 14. 確保一個新的會話
- 15. CodeIgniter丟失會話信息
- 16. NSMutableURLRequest丟失會話信息
- 17. PHP會話丟失信息
- 18. 會話信息丟失
- 19. 確保信息後?是一個整數
- 20. 如何在用戶註冊後保留會話信息(Django)?
- 21. 在struts2應用程序中保留會話信息
- 22. 如何使用requests_mock來確保調用正確的會話?
- 23. 在會話中存儲用戶信息?
- 24. 用戶可以查看會話信息
- 25. iTerm會話不唯一
- 26. as3唯一登錄會話
- 27. FOSUserBundle - 唯一會話訪問
- 28. Facebook omniauth:確保唯一的用戶名
- 29. Php確保唯一的用戶名
- 30. 保持主域和子域之間的會話信息
鏈接的IP欺騙文章真的關心使用代理來更改您的IP地址,而不是冒充另一個用戶的IP(這就是我所說的欺騙)。您可以使用IP地址作爲額外的檢查以及使用存儲在cookie中的不可預知令牌值,但IP檢查不能防止來自使用NAT的同一防火牆後面的其他用戶。而且,AOL和其他一些服務可以在會話期間爲同一用戶提供不同的IP。你可以檢查瀏覽器信息,但這隻會防範偶然的攻擊者(安全由Ob ..)。 – SilverlightFox
@SilverlightFox,我通常看到欺騙是因爲你的IP地址說謊:) – kolossus
你不是在說謊的IP地址,因爲當你通過代理連接你的IP地址。 ;-) – SilverlightFox