[問題] session存密碼安全嗎?

看板C_Sharp作者 (基本上我是個演員)時間15年前 (2010/04/15 23:07), 編輯推噓5(5016)
留言21則, 7人參與, 最新討論串1/1
因為後端需要再做其他驗證的問題 所以在session存了密碼 想問問在session存密碼,這樣安全嗎? 有沒有需要在使用者key完密碼後,先將密碼加密 再塞到session中 後端再解開來? (不知道會不會影響效能?!) 請問大家遇到session存密碼 都是怎麼去顧慮這一環節?謝謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.115.164.198
04/16 00:04, , 1F
一般不是後端直接用加密過的hash來驗證?
04/16 00:04, 1F
如果我的密碼不是跟資料庫的密碼作比對 而是要跟其他DLL(非我可管理的)做認證 那就不能用加密過的密碼來做驗證了 那有沒有辦法可以做到至少密碼在存session時先加密過 後端程式在做解密? ※ 編輯: RWA 來自: 59.115.164.198 (04/16 01:00)
04/16 10:50, , 2F
session太久閒置不是會被清掉嗎
04/16 10:50, 2F
04/16 17:57, , 3F
一定要放Session,就進行加密吧,有對稱式與非對稱式加密
04/16 17:57, 3F
04/16 17:58, , 4F
兩種選擇,但會衍生額外的重點就是金鑰的保存
04/16 17:58, 4F
04/16 21:26, , 5F
session是存在server上面,browser只有session id
04/16 21:26, 5F
04/16 21:26, , 6F
當然安全
04/16 21:26, 6F
04/16 22:02, , 7F
如果程式有漏洞,藉由漏洞使得記憶體中的Session Data傾
04/16 22:02, 7F
04/16 22:02, , 8F
印出來,那Session就不保證是安全的
04/16 22:02, 8F
04/16 22:09, , 9F
針對敏感性資料平常還是建立起留心習慣
04/16 22:09, 9F
04/16 22:13, , 10F
如果還有其他共同開發者未留心,就會使得敏感性資料暴露
04/16 22:13, 10F
04/16 22:48, , 11F
謝謝各位 我最後是先加密後再存Session變數 謝謝!
04/16 22:48, 11F
04/17 09:01, , 12F
如果你說到記憶體傾印的話, local variable也不安全了..
04/17 09:01, 12F
04/17 09:02, , 13F
用SQL/Session server吧, 會樣viewstate一樣用sessionID
04/17 09:02, 13F
04/17 09:03, , 14F
加密的...
04/17 09:03, 14F
04/17 13:54, , 15F
我想提的重點是"always encrypt sensitive data"
04/17 13:54, 15F
04/17 13:55, , 16F
至於資料傾印,也有可能是程式設計師的誤失導致的
04/17 13:55, 16F
04/17 13:55, , 17F
我接觸過幾個大型專案有session data sharing的情況
04/17 13:55, 17F
04/17 13:57, , 18F
對敏感性資料加密,避免軟體專案的誤失導致資料曝露
04/17 13:57, 18F
04/17 13:58, , 19F
不要怕麻煩,反而是要提高程式的安全與品質
04/17 13:58, 19F
04/18 01:50, , 20F
想請教一下 session不是存在server端嗎? 為何會在
04/18 01:50, 20F
04/18 01:51, , 21F
client端記憶體中暴露?
04/18 01:51, 21F
更多 RWA 的文章
文章代碼(AID): #1Bnokwn1 (C_Sharp)