セッションが有効であることを確認するにはどうすればよいですか? ユーザーが自分の aspnet セッション ID Cookie を変更し、別のログイン ユーザーの ID を推測するとどうなりますか?
質問する
1442 次
2 に答える
1
私が質問を正しく理解していれば、誰かが ASP.NET セッション Cookie を手動で開き、値を変更してから送信し、更新された値が他の誰かのセッションとして認識され、その人としてログインすることに関するものです。
ここでは、セッション Cookie と認証 Cookie が少し混同されています。ログオンしている誰かのセッション IDを推測すると、そのセッションが「取得」されますが、認証 Cookieも持っていない限り、そのユーザーとしてログオンすることはできません。
セッション ID c12ylm55kp3uirruo4is5sm5または ASP.NET 認証 Cookie 値のいずれかを推測または総当りすることは事実上不可能です。
3C886BA2344099338361C921C846EAF4E02F2A88E5E7EDE6838705928F7BB7C6FF469D35FE
B1532C44B81DB38F200DEE08B6ED0E6121B945C659E932D8CE8B69FFF09E7B59DBE4820873
DBD7891DD6B6BC4A486F35A2F99849017A6C72D9C6A44517D9AFDC731B3A3C55596E797328
06F7DDDF9F
...推測するには非現実的な時間がかかります-数万年から数十万年。
于 2013-05-16T15:13:42.397 に答える
0
2 つの Cookie について説明する必要があります。
- セッションに接続されている Cookie です
- 認証を保持する Cookie です。
同じではありません。ここでの問題は、誰かが認証を盗むのを防ぐために何をすべきかということです。ハッカーがユーザーから Cookie を盗み、その名前で Web サイトにログインすることはできますか?
私にとって最も重要なポイントは次のとおりです。
- 認証 Cookie の保存に SSL を要求する
- ユーザーがログアウトしたとき (その記事に基づく)、セッションにフラグを設定して、この認証 Cookie をブロックします。ログアウトしたオーセンティケータ Cookie をデータベース上で Logged out として保持することをお勧めします。
セッション Cookie も保護したい場合は、すべてのページで SSL ページを使用する必要があります。そうしないと、重要でない情報がセッション Cookie に保持されます。SSL を使用する場所と方法
于 2013-05-16T14:59:10.267 に答える