- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我很想知道你对这个安全问题的建议/意见。
我正在考虑做这样的事情:
你怎么看。这个可以吗?我还能用 $_SERVER['HTTP_USER_AGENT'] 检查实现什么,以确保 cookie 没有被盗(IP 地址除外)?
附言来自敏感数据的 cookie 将仅包含 userId。
编辑:确定清除一些东西。我正在尝试制作不依赖于 session 的“安全”身份验证系统。有问题的应用程序或多或少地构建为纯 restful api。
第 2 步:
问题:“傅的协议(protocol)没有对此提供答案题。 Fu 的原型(prototype)中只有一把 key ——col,即服务器 key 。一个简单的解决方案-tion 是使用此服务器 key 来加密数据字段每个cookie;但是,此解决方案并不安全。”
解决方案:“我们对这个问题的解决方案简单而有效。我们建议使用HMAC(用户名|过期时间,sk) 作为加密 key 。该解决方案具有以下降低三个良好的性能。一、加密 key 由于用户的原因,每个不同的 cookie 都是唯一的名称和到期时间。请注意,每当一个新的cookie被创建,一个新的过期时间被包含在 cookies 。二、加密 key 不可伪造因为服务器 key 是保密的。三、加密——每个 cookie 的 key 不需要任何存储服务器端或 cookie 中,而是 com-由服务器动态放置。“摘自 Alex X. Liu1 和 Jason M. Kovacs 的论文“A Secure Cookie Protocol”
第 4 步:加密数据(看起来像这样:'marko@example.com|34234324234|324erfkh42fx34gc4fgcc423g4'),这样即使客户端也无法确切知道里面有什么。
第 5 步:Base64 编码只是为了使最终值更漂亮。
最佳答案
我会咬人的。
为了保持任何状态,您需要使用某种类型的 key 来识别用户。该 key 作为 cookie 或通过查询字符串参数发送到浏览器。
现在,可以在 Web 服务器本身( session )内部或通过检查其他一些存储机制(通常是数据库记录)来验证该 key 。
key 本身应该使用某种机制进行混淆。混淆的原因很简单,如果原始用户或其他人决定检查值,则更难猜测其他键可能具有的值。例如,如果 key 是您的用户 ID(不推荐)并且您使用的是递增整数,那么猜测其他用户 key 是微不足道的。 我想强调的是,混淆(甚至完全加密) key 绝对不能防止被劫持的 session 。它所做的只是让猜测其他人的 session key 变得更加困难。
也就是说,我认为 key 应该与您的用户 ID 完全无关,而应该是其他一些接近随机的值,例如生成的 GUID。坦率地说,base 64 编码的 GUID 与加密用户 ID + 时间处于完全相同的安全级别。只是其中一个在您的服务器上比另一个计算密集度更高。
当然,这个 key 可以根据每个请求而改变。浏览器发布一些东西,你生成一个新 key 并将其发回。如果浏览器发布过时的 key ,则将其记录下来并将其踢回登录屏幕。这应该在一定程度上防止重放攻击。但是,它引入了其他挑战,例如在各种浏览器上使用后退按钮。所以,您可能不想走这条路。
也就是说,您不能依赖客户端 IP 地址,因为同一用户可能会使用不同的 IP 发送后续请求。您不能依赖浏览器指纹识别,因为任何体面的黑客工具都会捕获它并提交相同的值,无论它们使用什么。
现在,如果你真的想正确地做到这一点,你应该打开 SSL。否则你就是在浪费时间。整个对话(从登录屏幕开始)都需要加密。如果不是,那么有人可以简单地监听该 cookie,立即重放它并劫持 session 。重点是他们不需要知道其中包含的值就可以使用它们。因此,您拥有的所有这些散列等都只是绒毛,会增加您的服务器负载。
我有说使用 SSL 吗? ;) 这将从对话开始加密流量,攻击者无法重播相同的数据包,因为他们必须与服务器协商自己的握手。这意味着您所要做的就是确保您使用的任何 session ID 都是不可猜测的,这样一个登录用户就无法接管另一个 session 。
因此,总结一下:您发布的方法是在浪费时间。
您最好只获得 10 美元的 SSL 证书并使用 base 64 编码的 GUID 作为 session ID。如何在服务器上存储该 session 信息并不重要......除非在负载平衡的情况下。在这一点上,它需要在进程外并由数据库服务器支持。但这是另一个问题。
关于php - 在没有 session 的情况下验证系统 - 只有 cookie - 这是否相当安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6631834/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!