[問題] 使用session安全嗎?

看板Web_Design作者 (阿U)時間10年前 (2013/12/19 13:46), 編輯推噓2(2011)
留言13則, 5人參與, 最新討論串1/1
使用Session當成登入狀態好像是滿常實作的 比如說用session紀錄我的user id , 然後此網頁當要取得我資料時 , 就使用我的user id session 當key下去搜尋我的資料 而 Session 在產生後, 會在client browser 產生一個cookie來對應到server的session(有錯誤請指正) 請問browser的cookie會容易被偽造 而使駭客使用別人的session登入網站嗎? 還是大家有沒有什麼建議的設計方式? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.246.218.107
12/19 14:00, , 1F
cookie很容易修改啊 所以現在才會全HTTPS(雖然不完全是
12/19 14:00, 1F
12/19 14:01, , 2F
不過要是你登入資料塞cookie更危險就是
12/19 14:01, 2F
12/19 14:02, , 3F
你可以另外去驗證session合法性 像是IP之類的
12/19 14:02, 3F
12/20 00:27, , 4F
cookie變造超簡單的 就只是一個string而已...
12/20 00:27, 4F
12/20 08:54, , 5F
額外用一組seesion當成本次連線的token. token用RSA之類的
12/20 08:54, 5F
12/20 08:54, , 6F
演算法加密。這樣只有你有key才能解密。(沒外流的話)
12/20 08:54, 6F
12/24 17:07, , 7F
堵好xss偷cookie的洞不是就很安全了嗎
12/24 17:07, 7F
12/24 17:08, , 8F
session也有時效性應該不可能偷到就用一輩子吧
12/24 17:08, 8F
12/24 17:15, , 9F
還有一樓https防MIMA但偽造session真有可能?
12/24 17:15, 9F
12/24 17:36, , 10F
沒有 https 的話 還是可能在公用網路被 network sniffer 偷
12/24 17:36, 10F
12/25 17:06, , 11F
樓樓上 我啥時說偽造session了... 只要偷到cookie
12/25 17:06, 11F
12/25 17:06, , 12F
沒特別處理過的 就能直接拿來用了
12/25 17:06, 12F
12/25 17:07, , 13F
另外session確實會有時效性 不過重點是偷到後能做的事
12/25 17:07, 13F
更多 sing10407 的文章
文章代碼(AID): #1IieWODf (Web_Design)