个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我目前有一个在我的企业中运行的自己开发的应用程序安全服务,并且在很大程度上满足了业务需求。
我目前面临的问题是,该服务传统上(天真地)依赖于用户的源 IP 保持不变,作为对冲 session 劫持的对冲——企业中的 Web 应用程序不能直接对公众开放,它在过去,我完全可以接受要求用户的地址在整个给定 session 中保持不变。
不幸的是,情况已不再如此,因此我被迫切换到不依赖源 IP 的解决方案。我更愿意实现一个真正实现原始设计者意图的解决方案(即防止 session 劫持)。
到目前为止,我的研究已经出现 this ,它实际上是说“用 SSL session key 加盐您的身份验证 token 散列。”
从表面上看,这似乎是一个完美的解决方案,但我一直怀疑这个方案在现实世界中的实现是不切实际的,因为客户端和服务器可能随时 - 有效地任意- 选择重新协商 SSL session 并因此更改 key 。
这是我设想的场景:
这是一个真正的问题,还是由于(至少可以说)对 SSL 工作原理的理解不够完美而造成的误解?
最佳答案
查看与 SSL persistence 相关的所有主题。这是负载均衡器领域中经过深入研究的问题。
简短的回答是:您不能依赖 SSLID——大多数浏览器会重新协商,您仍然必须使用源 IP。如果 IP 地址可能会在 session 中更改,那么您可以强制进行软重新身份验证,或者使用 SSLID 作为两个 IP 更改之间的桥梁(反之亦然,即只有在两者 IP 地址和 SSLID 同时更改,如服务器所见。)
2014 年更新
只需强制使用 https 并确保您不会受到 session fixation 或 CRIME 的攻击。不要费心用任何客户端信息来添加您的身份验证 token ,因为如果攻击者能够获得 token (前提是所述 token 不仅仅是简单的猜测)然后使用任何手段来获取它(例如 cross-site scripting ,或完全破坏客户端系统)还将允许攻击者轻松获取可能已进入 token 的任何客户端信息(并在需要时在辅助系统上复制这些信息)。
如果客户端很可能只从几个系统连接,那么你可以为客户端连接的每个新客户端系统设置 generate an RSA keypair in the browser(公共(public)部分提交到你的服务器,私有(private)部分保留在希望的位置) 保护 客户端存储)并重定向到使用 two-way (peer/client certificate) verification 代替基于密码的身份验证的虚拟主机。
关于security - SSL session 持久性和安全 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/595936/
25
4
0
我想知道将内存中的树结构存储为用于持久性目的的目录树的实用性。在我的例子中,他的目标文件系统将是 ZFS,一旦创建了结构,它将很少被多个进程访问。 使用目录树作为数据树持久化机制的性能如何? 最佳答案
我已经创建了 docker private registry 并且能够从同一网络中的其他 raspi 推送和拉取(将 registry ip 添加到 insecure-registry 选项) doc
我正在尝试构建我的第一个“真正的”Haskell 应用程序,一个使用 Servant 的 API,我在其中使用 Persistent 作为数据库后端。但是我在尝试使用 Persistent 进行某种类
我已经在 stackoverflow 上看到了 ASP.NET MVC C# 中的持久性 cookie 示例。但我不明白为什么下面的代码不起作用。 首先我写入cookie: HttpCookie co
我是 Java Persistence API 的新手.我刚学会它,现在想在我的 Java 桌面应用程序中使用它。但我有以下问题: Q1。哪个 JPA 实现的大小最小(因为我希望我的应用程序的大小尽可
我正在尝试按照 android 蓝图指南将 MVP 模式实现到我的项目中。目前,我将用户(实体数据)保存在我的 Presenter 中,我真的不喜欢这样做,因为在每次配置更改时,presenter 都
我需要一个类似 map 的数据结构(在 C++ 中)来存储具有以下功能的对 (Key,T): 可以在当前结构中插入新元素(Key,T) 可以在当前结构中根据Key搜索元素 您可以制作当前版本结构的“快
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,
我的配置 MBean 的持久性存在问题。我的配置: @ManagedResource(objectName = "pl.mobile
docker 中的 RabbitMQ 在删除没有卷的容器后丢失数据。 我的 Dockerfile: FROM rabbitmq:3-management ENV RABBITMQ_HIPE_COMPI
我正在尝试编写一个类型类,以简化使用持久性、aeson 和 scotty 编写 CRUD 后端 这是我的想法: runDB x = liftIO $ do info CRUD a where
当我尝试使用 持久化对象时遇到问题多线程 . 详情: 假设我有一个对象 PaymentOrder其中有一个列表 PaymentGroup (一对多关系)和 PaymentGroup包含 CreditT
我想使用纯功能数据结构和以下操作来实现环形缓冲区 通过索引进行高效随机访问 添加到前面 从背面移除 使用持久数据结构的原因是因为我有一个写入器线程和多个读取器线程,并且我想避免读取器阻塞写入器。 这可
persistence.xml 中关于 derby 客户端驱动程序的属性声明应该是什么?例如: 当我想从 Java 更新数据库时,我不断收到下面的异常。 实际上我需要客户端驱动程序而不是 Embed
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我希望用户即使关闭浏览器也不必登录。我的 cookie 将在一个月后过期。 用户登录成功 $session = CGI::Session->new (undef, undef, {Directory
我正在与 JBOss 作斗争,并且遇到了一个似乎很难解决的问题,但事实证明我不能。当我尝试部署一个简单的 Java Web 应用程序时,遇到异常: org.hibernate.ejb.Hibernat
当使用具有持久性的 Workflow Foundation 时,我们想删除一些(或全部)工作流,这些工作流不再应该被持久化/运行。 我可以使用任何脚本/工具吗? 最佳答案 没有可用于执行此操作的标准
我正在使用 JPA,并且我正在为所有引用实体使用二级缓存。一切正常,我可以从二级缓存中获取实体,因为它们之前已经被选中。 现在,我有两个应用程序,它们都使用相同的数据库(因此它们都使用相同的表、值等)
所以我正在制作一个 spring-boot 应用程序,并且从外部库导入一些数据模型(通过 maven 导入)。我有一些模型,它有一个外部库类型的字段,我希望能够保留它。像这样的东西: package
我是一名优秀的程序员,十分优秀!