0

ユーザーがログインした後のセッションハイジャックを回避するには、ログインプロセス中に、実際に正当なユーザーであることを検証するためにどのような情報を信頼できますか。中継するセッションを傍受した人が無効になるように

彼らのIPアドレスとブラウザ情報はそれで十分ですか?

4

2 に答える 2

3

IPアドレスとブラウザ情報は十分ですか?

絶対にありません。IP アドレスはスプーフィングされる可能性があり、ブラウザは貧弱なメタスプロイト ツールキットに改造される可能性があります。ポスターツールを参照してください。

OWASPプロジェクトには、セッション トークンを保護するための非常に優れた指針、一般的な Web アプリケーション セキュリティに関連するその他の優れた機能があります。

Web アプリケーション サーバーのインストール フォルダー内から開始されたものではないことを信頼してください。

于 2012-10-07T04:16:17.077 に答える
1

メールアドレスの変更など、重要なことを行う前に、ユーザーに再認証 (パスワードの再入力) を求めることができます。セッションのハイジャックに対する完全な保護はありません。セキュリティの名の下にどれだけのユーザビリティを犠牲にする覚悟があるかを選択する必要があります。

于 2012-10-07T07:48:20.737 に答える