假設您正在使用快速會話來提供會話 cookie 和存盤。您將如何驗證用戶實際上是該用戶?任何隨機的人都可以通過開發者控制臺獲得一個“經過身份驗證”的 cookie 并將其匯入他們的瀏覽器document.cookie='cookie=IAMACOOKIE'嗎?此時他們擁有對該帳戶的所有訪問權限(除非會話已過期)。
對不起,如果這是一個愚蠢的問題!我最近才開始涉足網路。
uj5u.com熱心網友回復:
會話 cookie 通常以多種方式受到保護:
它們必須在密碼上難以“猜測”或通過暴力攻擊進行攻擊。這通常還包括基于服務器端“秘密”的加密。
它們應該受到
https傳輸的保護,這樣任何中間人都無法獲取cookie然后使用它。請注意,一個非常脆弱的情況是http在公共 WiFi 網路上使用的 cookie。那時,WiFi 網路的所有者或入侵 WiFi 網路的人很容易收集 cookie。但是,如果 cookie 始終在下方https并標記為secure(這樣瀏覽器將永遠不會將 cookie 發送過來http),那么它就不會受到被黑客入侵的公共 WiFi 的影響。最終用戶也可以使用 VPN 在公共 WiFi 上保護自己,但實際上任何想要或需要保護其用戶身份驗證憑據的網站都必須在其上運行https,以使憑據得到自動保護,即使在公共 WiFi 上也是如此。會話 cookie 應具有選項
Secure和HttpOnly. 這可以防止它們被發送過來http,并防止網頁中的客戶端 Javascript 訪問它們。會話 cookie 應該有一個相對較短的生命周期(它們在服務器上有效的時間段),限制它們仍然存在并受到猜測攻擊的數量。必須在安全性和用戶體驗之間找到一個折衷點,因為您也不想強迫用戶每 5 分鐘重新登錄一次。
部署了速率限制(甚至可能是 IP 阻塞)來檢測和禁止對 cookie 值的腳本猜測。
這些保護的重點是會話 cookie 很難被攻擊者猜到或在傳輸程序中被盜。
假設您正在使用快速會話來提供會話 cookie 和存盤。您將如何驗證用戶實際上是該用戶?
會話 cookie 中的 id 是臨時身份驗證憑據。假設如果您擁有該 cookie,那么您與創建會話 cookie 時最初登錄的用戶是同一用戶(或被原始用戶授予使用會話的權限)。
如果用戶將 cookie 資訊顯示/發送給另一個人;他們能否將這些資料匯入到他們自己的機器/瀏覽器中,讓他們在會話到期之前“成為”那個用戶?
是的,如果您真的想這樣做,可以這樣做。一些網站可能會使用某種“瀏覽器指紋”來嘗試檢測 cookie 現在被不同瀏覽器使用的情況。但是,那時,原始所有者也可以將他們的用戶名和密碼借給其他人。這只是一個事實,任何合法用戶都有能力將他們的登錄憑據“借給”他們想要的任何人(無論他們這樣做是否明智)。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/428878.html
標籤:javascript 表示 饼干 后端