gpt4 book ai didi

security - Twitter.com 缓存清除后如何注销用户?

转载 作者:行者123 更新时间:2023-12-02 08:03:48 25 4
gpt4 key购买 nike

今天下午我注意到一些非常有趣的事情 - 当我清除浏览器缓存和 cookie 时,Twitter 立即将我注销。

我假设他们每秒左右通过 Javascript 轮询一次身份验证 cookie,并在 cookie 丢失时注销用户。关于这是如何完成的还有其他猜测吗?

由于这是我第一次遇到这种行为,我想知道它有多常见、实现它的最佳方法以及实现它时应该考虑的任何安全问题(如果有)。

最佳答案

任何网站知道您已登录的唯一方法是通过您的浏览器在后续请求中发送的 cookie。如果 cookie 不再存在,那么根据定义,您将不再登录到他们的网站。

我不太确定您所问的“实现目标的最佳方法”是什么。到底实现什么的最佳方法?

如果您询问通过 cookie 保持浏览器登录状态的最佳方法是什么,那么它可以归结为在 cookie 中存储 session 或用户 ID。 session ID 是首选,因为每个“ session ”都有不同的值。

关于使用 cookie 来保证安全性的普遍程度:它们几乎无处不在。唯一不使用 cookie 来存储您的 session ID 的情况是 session ID 出现在查询字符串中。

现在谈谈安全问题。通常,这些 cookie 的生命周期非常有限,即您的浏览器 session 的生命周期,因此当您关闭浏览器时,cookie 就会过期。如果站点启用了 ssl,则 cookie 的内容在通过网络传输时会被加密。如果没有,那么您就无法防御中间人攻击或数据包捕获攻击。 (查找 firesheep)。

关于security - Twitter.com 缓存清除后如何注销用户?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7856638/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com