2012-04-01 154 views
0

我需要對基於cookie的會話如何工作有一定的瞭解。我正在構建一個應用程序,在該應用程序中,我對用戶進行身份驗證,並且在成功驗證身份後,我將GUID標識爲會話中的用戶,並將其作爲cookie繼續保存。現在,當用戶登錄時,有什麼辦法阻止某人嗅探流量,竊取用戶cookie的內容並在他們自己的末端創建cookie並以該用戶身份登錄我的網站?另一種情況可能是,如果我可以實際訪問該人登錄的計算機,則我也可以竊取cookie的內容並以用戶身份冒充。基於Cookie的會話安全

回答

5

什麼是防止某人嗅探流量,竊取用戶cookie的內容並在他們自己的末端創建cookie並以該用戶身份登錄我的網站?

SSL - 停止該方法的唯一方法是在HTTPS上運行您的網站。

我只好到該人已被記錄在

一旦你有一臺機器所有的安全方法是沒有實際意義的物理訪問機器的物理訪問。你無能爲力。

0

我想你在這裏有兩個問題。關於第二個,你不應該在cookie中存儲一個會話密鑰,並且讓它保持比會話更長的時間,將cookie上的超時設置爲快速過期並且儘快使服務器上的會話無效,並且cookie變爲無用。如果您通過網絡傳輸重要信息,請使用https。