2

物事を説明したり、フローチャートを書いたりするのが得意ではないので、あらかじめお詫び申し上げます。これは特定のコードの問題ではなく、セッション セキュリティに関する一般的な質問です。

一度にできるだけ多くの潜在的な問題を排除しようとしています。私はこれが世話をすると思います:

  • CSRF
  • セッション固定
  • セッション予測
  • Cookie の盗難 (ブラウザの脆弱性による)
  • セッションのサイドジャッキング

攻撃者の IP とユーザー エージェント ヘッダーの両方が認証されたユーザーのものと同じである場合、セッションは依然としてサイドジャックされる可能性があることを認識しています。その防弾を作るにはSSLが必要だと思いますか?

以下のclusterfuckで私が言おうとしていることを理解できれば、どんな批評でもありがたいです. これは多かれ少なかれ私がやっていることです:

編集 - 私が持っていた別の質問: これが問題になるほど頻繁に変更される IP アドレスをユーザーが持っていないと仮定しても安全ですか?

フローチャート

4

1 に答える 1

2

これは問題ないように見えますが、セッションが期限切れになった場合に JSON または XML を返すはずの AJAX リクエストをどうするかを理解する必要があります。

いいえ、IP アドレスが同じままであると想定するのは安全ではありません。AOL はほとんど死んでいましたが、このことで悪名高く、20 ~ 30 のプロキシ サーバーを使用して、単一のダイヤルアップ クライアントを HTTP サーバーに問い合わせていました。

SSL は必須であり、証明書は現在非常に安価です。これにより、すべての懸念が緩和されるはずです。「中間者」攻撃。

于 2010-07-27T13:17:07.190 に答える