會員 | 【網路安全】Session 的安全性 現在的網站在設計時,都會使用 Cookie 或 Session 來識別使用者的資料, 雖然 Session 的安全性已增加了,但他仍需儲存一個指標在 Cookie 裡。 (甚至 PHP 也支援在 URL 上傳遞 Session 的值) 問題是這樣的,假設 A 登入某個網站(例如:PCZone),且有選取"自動登入"或"記住我的帳號", 該網站雖然有用 Session 儲存資料在 Server 端, 但仍需儲存一個 Session 的指標在 Client 端的 Cookie 內。 現在 B 用"特殊方法"取得 A 電腦的 Cookies, 雖然 B 沒有從 Cookie 裡取得 A 在 PCZone 內的帳號及密碼, 但 B 如果把自己的 Cookie 改成跟 A 一樣的 Cookie, 那會不會 B 就變成 A,而且可以直接登入 PCZone 了? |
回覆 |
會員 | 您的理論是對的. 但一般的解決方法是會將cookie加密以及設定時間限制. Response.Cookies("PaWD").Expires = DateAdd("d",5,Date) 而且在server寫東西到cookie時,也會設定cookie的domain property. 通常預設值會是程式的 Full DNS Domain Name or Server Name, 所以您從其它主機讀取相同cookie值時還是無法成功的. |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
提高你的 win7 的安全性 | Smile_24 | -- Windows 討 論 版 | 0 | 2009-11-05 09:05 AM |
【求助】關於 TeCom AR4031B 的安全性!~ | feng1978 | ---- ADSL 軟 硬 體 技 術 | 0 | 2004-08-20 12:36 AM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。