Ich brauche Klarheit darüber, wie Cookie-basierte Sitzungen funktionieren. Ich baue eine App, in der ich einen Benutzer authentifiziere und bei erfolgreicher Authentifizierung halte ich eine GUID, die seinen Benutzer identifiziert, in der Sitzung, die wiederum als Cookie erhalten bleibt. Wenn sich ein Benutzer anmeldet, was verhindert dann, dass jemand den Datenverkehr erfasst, den Inhalt des Cookies des Nutzers stiehlt und an seinem eigenen Ende ein Cookie erstellt und sich an der Website als diese Person anmeldet? Ein anderes Szenario könnte sein, dass ich, wenn ich physischen Zugriff auf einen Computer hätte, auf dem die Person eingeloggt ist, auch den Inhalt des Cookies stehlen und sich als Benutzer ausgeben könnte.Sicherheit von Cookie-basierten Sitzungen
Antwort
Was ist zu verhindern, dass jemand den Traffic schnüffelt, den Inhalt des Cookies des Nutzers stiehlt und ein Cookie an seinem eigenen Ende erstellt und sich auf meiner Website als diese Person anmeldet?
SSL - der einzige Weg, dies zu stoppen, ist Ihre Website auf HTTPS laufen zu lassen.
hatte ich physischen Zugriff auf einen Computer, auf dem die Person in
angemeldet wurde, wenn Sie alle Ihre Sicherheitsmethoden strittig sind physischen Zugriff auf einen Computer haben. Sie können nichts dagegen tun.
Ich denke, Sie haben zwei Fragen hier. In Bezug auf die Sekunde sollten Sie keinen Sitzungsschlüssel in einem Cookie speichern und ihn länger als die Sitzung beibehalten lassen, das Zeitlimit für den Cookie schnell ablaufen lassen und die Sitzung auf dem Server für ungültig erklären, sobald dies zumutbar ist und der Cookie wird nutzlos. Wenn Sie wichtige Informationen über die Leitung fließen lassen, verwenden Sie https.
dies lesen: http://www.linuxforu.com/2009/01/server-side-sessions/
ein paar Sekunden gedauert googeln dieser Artikel beantwortet Ihre Fragen über jemanden zu verhindern, dass Verkehr Schnüffeln, Diebstahl, den Inhalt des Cookies des Benutzers und ein Cookie auf ihrem eigenen Ende Erstellung und Anmeldung in Ihrem Website als diese Person.
- 1. Implementieren der Sicherheit für Sitzungen
- 2. Redis vs native Sitzungen
- 3. Arbeiten von PHP-Sitzungen
- 4. Verwenden von Sitzungen MVC
- 5. Behandlung Sitzungen für Skalierbarkeit
- 6. Jersey Sicherheit und Session-Management
- 7. Thread-Sicherheit von log4net
- 8. Sicherheit von regulären Ausdrücken
- 9. Sicherheit von AJAX-Anfragen
- 10. Ausblenden von "Tunnel zu" -Sitzungen
- 11. Trennen von Sitzungen und Karten
- 12. Verstehen von Sitzungen und Cookies
- 13. Kombination von Cookies und Sitzungen
- 14. Best Practice mit Sitzungen (Gorilla/Sitzungen)
- 15. Globale Sitzungen?
- 16. PHP-Sicherheitscheckliste (Injektion, Sitzungen usw.)
- 17. Anzahl der offenen Sitzungen suchen
- 18. Hibernate-Sitzung vs Thread-Sicherheit
- 19. Spring Security, Spring MVC und Login-Sitzungen
- 20. shared sever cookie Login Sicherheit
- 21. Sitzungen verwalten
- 22. Verwenden von Android-Sicherheit KeyChain
- 23. Frühling Sicherheit Verwendung von @PreAuthorize
- 24. Sicherheit von Android Assets Ordner
- 25. Speichern von Benutzerdaten abgeflachte Sicherheit
- 26. Thread-Sicherheit von .NET-Verschlüsselungsklassen?
- 27. Sicherheit von NSUserDefaults in Swift
- 28. Sicherheit mit Play! von Outside Application
- 29. Container-verwaltete Sicherheit, Spring-Sicherheit und Authentifizierung
- 30. Spring-Sicherheit ConcurrentSessionControlStrategy-Problem