1
是否有任何(開源)asp.net實現(在一個HttpHandler或其他的形式),用於下面的紙張:http://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf是否已經存在用於「A安全cookie協議」一個asp.net實施
A
回答
0
這本文假定HMAC +對稱密碼足以抵禦針對HTTP會話的所有攻擊。這是一個不正確的假設,因爲這仍然給MITM攻擊留下了大門。此外,這種使用的密碼系統在CMAC模式下更好地實現爲分組密碼,但這同樣易受攻擊。
如果不保護實際的HTTP內容,就會打開xss風格攻擊的大門。攻擊者通常會轉發流量,但會附加一些惡意JavaScript來使用XHR執行自己的請求。這是假設其他基本會話安全系統已到位,如「僅限HTTP」cookie。
總之,是的,有一個開放源碼協議,可以保護您的會話免受所有攻擊。它的SSL! SSL使用PKI來抵禦MITM,這是迄今爲止最好的解決方案。 HTTPS需要在整個整個會話中使用,這是OWASP top 10 Broken Authentication and Session Management的要求。
相關問題
- 1. 檢查,看是否任擇議定書方法已經實施
- 2. 實施UIActivityItemSource協議
- 3. 實施AirDrop協議
- 4. 實施Bittorrent協議
- 5. 實施IPSEC協議
- 6. 在Zp中是否((a^x)^ 1/x)== a? (對於Jablon協議)
- 7. NSManagedObject實施協議 - 由於@dynamic警告
- 8. ASP.NET MVC Cookie實施
- 9. 此SSO實施是否安全?
- 10. 網絡協議實施
- 11. Cumulocity實施新協議
- 12. MSN協議11實施
- 13. RabbitMQ實施AMQP協議
- 14. 私下實施協議?
- 15. CoreData和實施協議
- 16. 施樂DocuShare是否支持CMIS協議?
- 17. 如何檢查一個實體是否已經存在於永久存儲中
- 18. 這個cookie系統對於存儲密碼是否安全?
- 19. asp.net安全cookie
- 20. 安全Cookie ASP.NET
- 21. 線程安全值類型是否已經存在於標準庫的某處?
- 22. 檢查一個項目是否已經存在於JComboBox中?
- 23. 檢查一個項目是否已經存在於listbox1中
- 24. 如何檢查一個集合是否已經存在於ArangoDB
- 25. Zend AMF實現和AMF協議安全
- 26. ID確認一個協議,但在哪裏將實施?
- 27. 檢查實體是否已經存在於ContextBroker中
- 28. 這是安全使用不安全的協議嗎?
- 29. ASP.NET 3.5 IIS7角色安全實施
該論文明確指出,SSL是他們的解決方案所必需的,也是因爲ssl會話ID用於哈希....本文解決了利用cookie的重播攻擊,您的鏈接無法處理... – 2010-05-12 17:50:41
@Tim媽媽是的,我沒有閱讀整篇論文。那麼,什麼阻止某人與XHR或CSRF進行會話呢?這與用於擊敗「僅限HTTP的Cookie」的攻擊方式相同,這聽起來像是解決此問題的更堅實的解決方案。 – rook 2010-05-12 17:55:46
那麼什麼是阻止某人乘坐XHR或CSRF的會話呢? 使用Http-only也設置安全Cookie,對於MITM攻擊,它需要在SSL會話中破解,但是如果小偷可以做到這一點,那麼就不會有安全問題。 SSL只能防止你從重播攻擊中獲得回報,在這種攻擊中,一名小偷在從受害者處竊取它之後重新發送其SSL連接上的Cookie ... – 2010-05-14 14:06:57