gpt4 book ai didi

security - 确保基于 Cookie 的身份验证安全

转载 作者:行者123 更新时间:2023-12-02 10:41:40 25 4
gpt4 key购买 nike

我目前正在重构我的一个 Web 应用程序,希望获得一些关于提高安全性的建议。

我会注意到该应用程序位于 ASP.net 中,并且当前的实现阻止我使用集成身份验证。这也绝不是一个需要高安全性的应用程序,我只是喜欢有我的基础。

过去我存储了 id 和 token 。 token 是用户 ID + 用户 Salt 的哈希值(重用身份验证信息中的值)当用户访问该站点时,将根据 token 检查 ID 并进行相应的身份验证。

我突然想到这里有一个大洞。理论上,如果有人获得了盐值,他们所需要做的就是猜测哈希算法并迭代可能的 ID,直到他们进入。我不希望这种情况发生,但这仍然看起来是一个错误。

有关如何正确确认用户 cookie 未被更改的任何建议吗?

最佳答案

大多数网站的做法是对使用进行身份验证,如果成功,它们会向浏览器发送一个 cookie 来存储和发送任何后续请求。如果攻击者能够获得 token (在其过期之前),他们将能够冒充用户。

因此,cookie 和身份验证过程应始终通过 https session 执行。攻击者获取 cookie 的唯一现实方法是在最终用户的计算机上拦截它,如果他们能够做到这一点,他们可能可以安装击键记录器并获取用户的密码。

至于使用哪种 token 并不重要,只要它的伪随机性足以使攻击者猜测其计算成本高昂即可。我自己使用 GUID。如果除了 sessionid 之外,您还需要 cookie 中的额外信息,您可以在其中附加一个 GUID,然后可能对其进行散列或加密,以实现皮带和大括号的方法。

关于security - 确保基于 Cookie 的身份验证安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1283594/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com