Cookie のみで HTTP セッションを維持する場合に発生する可能性のあるセキュリティの問題 (方法も) を説明してもらえますか?
質問する
282 次
2 に答える
0
まあ、それ自体のセッションは安全ではありません。共有秘密を持っている誰かのためにアプリケーションに穴を開けます。しかし、それは許容範囲です。誰かがあなたのセッション ID を取得すると、問題が発生します。これを避けるには、ID は uuid 品質 (本当にランダム) で、できるだけ短期間にする必要があります。
また、考慮すべきこと: 誰かがあなたのドメインに JS を挿入できる場合 (Cookie が有効な場合)、その人はあなたの Cookie を読み取って、誰かのセッションにアクセスすることができます。
セキュリティ関連の操作 (送金、電子メール/パスワードの変更) については、ユーザーのセッションを確認するためにパスワードを再度要求する必要があります。
ロックアウト ボタンをクリックすると、ローカル Cookie だけでなくサーバーのセッションも破棄されるため、Cookie が読み取られた場合でも、セッションが破棄される可能性があります。
于 2012-04-30T12:30:41.957 に答える
0
Cookie のみを使用して、セッション管理をコーディングできます。セッション情報を管理するには、多くのピースが必要になります。Cookie の有効期限のタイム スタンプ、セキュアな Cookie、セッション ID の生成などを管理する場合のフローは、次のような問題を引き起こす可能性があります。
- Cookie は盗まれて再利用される可能性があります
- Cookie の操作により、権限昇格や不正アクセスが発生する可能性があります
于 2012-04-30T09:41:07.410 に答える