3
我是ASP.net的webdev的新手。在Web應用程序中安全「記住我」
我的問題是如何確保安全的「記住我」功能。 目前,我正在將一個對象序列化爲一個cookie,以便將來對用戶進行身份驗證。
但現在我的想法是,如果有人複製我的cookie,他將能夠登錄與黑客入侵的人的帳戶。記住不同會話之間的人的登錄有更安全的版本嗎?
最好的問候
A
回答
0
您可以在cookie中存儲一些額外信息,如客戶端IP地址。
3
「記住我」cookie通常包含一個長期會話密鑰。通過存儲關於最初創建cookie的計算機環境的額外信息,您可以更容易地使用被盜的cookie,並在接受cookie之前檢查此信息。這被稱爲「設備指紋識別」。它可以非常精確,但它不是很容易做到,而且不是100%安全。
該ip號碼可以是設備指紋的一部分,但移動設備上的ip號碼發生變化的頻率很高,所以會相當大地降低cookie的值。您可以檢查http標題字段,如「用戶代理」,「接受」,「接受語言」等。這些字段在兩個不同的瀏覽器上通常會有所不同。您可以使用javascript並檢查操作系統版本,Java版本等。
在服務器上存儲設備指紋以及會話密鑰將使記憶-me-cookie變得更加強大。但是,它仍然不是很安全。竊取cookie的攻擊者可能也可以收集所有這些信息。
PS:另外請記住,如果用戶知道cookie丟失,即他的電腦被盜,應該可以取消激活remember-me-cookie。
相關問題
- 1. Web應用程序安全
- 2. Web應用程序安全
- 3. Spring安全記住我在春天的MVC應用程序中不工作。
- 4. PHP:記住我和安全?
- 5. tomcat中的安全web應用程序
- 6. J2EE7中的Web應用程序安全
- 7. 在線安全的web應用程序
- 8. 用記住我彈簧安全UsernamePasswordAuthenticationFilter
- 9. Scala Web應用程序安全
- 10. Web應用程序的登錄安全
- 11. Intranet Web應用程序安全
- 12. ASP.NET Web應用程序的安全庫
- 13. Java Web應用程序安全理念
- 14. Struts2 web應用程序安全
- 15. Restful Web應用程序安全
- 16. Web應用程序安全測試
- 17. 彈簧安全「記住我」複選框
- 18. 避免記住我的安全問題
- 19. PHP「記住我」的安全漏洞?
- 20. 春季安全記住我問題
- 21. .NET Web應用程序的應用程序安全審計?
- 22. 如何記住C#web應用程序中按鈕的狀態?
- 23. 我應該在Java Web應用程序中使用安全管理器嗎?
- 24. 安全地使用WebApi在Android中記住我
- 25. 記住我在REST中使用Spring安全
- 26. 安全*記得我在vb.net贏得表格應用程序?
- 27. passport.js:記住我沒有在快遞應用程序中工作
- 28. 在PhoneGap應用程序中實現「記住我」選項
- 29. 在Rails應用程序中實現「記住我」
- 30. 如何在WPF應用程序中實現「記住我」
查看http://stackoverflow.com/questions/3206622/is-putting-data-in-cookies-secure,想法是將一些已知值(旋轉值)存儲在數據庫中,然後與一個已知值cookie – sll 2012-03-23 20:37:37