0
我正在使用計算機作爲應用程序的Web專用服務器。 (這樣的會議將不會被共享)Cookie vs會話安全「記住我」功能
我想開發一個安全記得我的功能,我想知道這是做的最好的方式:
- 會議
- 餅乾
使用cookie,我將不得不加密用戶密碼,創建一些salt並在數據庫中添加一些字段。 (詳細的here或here)
在這種情況下使用會話配置它們的時間會更長嗎?
謝謝。
A
回答
0
餅乾與會話
PROS的會議:
- 會議可能會更容易配置。
- 會話對於數量有限的TRUSTED用戶會很有效
- Cookie和會話具有相同的威脅模型。如果黑客能夠解密一個cookie,他可以解密會話
缺點
- 如果您的服務器被攻擊,攻擊者獲得的上下文。即一大堆令牌,通過它可以解密數據
會話保存服務器端的內存。會話cookie在瀏覽器關閉時也會過期。雖然這可以重新配置(如果你真的努力嘗試)。您基本上最終會重新創建一個新的化身cookie。
總之,Cookies VS Sessions毫無疑問是爲了「記住我」的Cookie。
1
餅乾。
您需要在客戶端存儲一些狀態。 「記住我」的想法是,在沒有會話的情況下回到同一個站點仍然會讓您重新登錄,而不會建立有效的會話。
Cookies允許您存儲狀態。可以有其他方式來做到這一點,但絕對不是會話。
相關問題
- 1. PHP會話記住我功能
- 2. PHP會話,COOKIES和記住我功能
- 3. 爲「記住我」功能設置cookie的最安全的方法
- 4. 在會話間記住我的功能
- 5. PHP:記住我和安全?
- 6. Spring安全記憶服務會話Cookie
- 7. 記住我功能+其他安全問題
- 8. 會話,cookie和安全
- 9. Expressjs安全會話cookie
- 10. Cookie會話和安全
- 11. Recaptch2記住我功能嗎?
- 12. 以記錄形式「記住我」功能
- 13. ASP.Net記住我功能
- 14. Grails彈簧安全核心記住我的功能
- 15. Cookie可以記住javascript功能
- 16. 記住我在自定義會話對象中的功能
- 17. 龍捲風安全cookie過期(又名安全會話cookie)
- 18. PHP記住我,COOKIE
- 19. 記住我的cookie
- 20. 彈簧安全「記住我」複選框
- 21. PHP「記住我」的安全漏洞?
- 22. 會話cookie vs JWT
- 23. 在symfony2中記住我和會話
- 24. Yii記住我的功能?
- 25. 實現「記住我」功能
- 26. 登錄'記住我'Cookie - 最佳安全做法
- 27. 會話超時殺死「記住我」的cookie的ASPNET數據庫
- 28. Codeigniter會話cookie和記住我的選項
- 29. 如何記住我cookie的會話生活時間?
- 30. Zend框架記住我的功能
如果會話不共享,可能會導致錯誤甚至導致安全風險......從技術上講,黑客可以獲得當前所有用戶的憑據。 – cjds
因此會話不安全嗎?黑客能夠訪問他們嗎? – Alvaro
@Steve如果記住我的令牌存放在cookie中,威脅模型與會話cookie相同。但!會話在服務器端保存內存,併爲攻擊者提供上下文,但並不好。記住我的令牌執行重新認證(可以更改令牌值以獲得更高的安全性),另外還可以跟蹤用戶重新認證。我認爲存儲用戶會話即兩週不是最好的應用配置決定:)攻擊者可以很容易地拒絕你的服務器:) – fatfredyy