Evercookie用于长期会议和会议劫持预防

时间:2015-04-20 17:33:03

标签: php session session-timeout evercookie

我正在实施与特定桌面相关联的课堂登记系统。不幸的是,我所拥有的是一个面向公众的网络服务器,并且不希望学生能够复制检查网址和伪造签到,或者使用员工凭证登录并访问网站上的其他工具。此外,计算机位于网络中,DHCP会定期重新分配IP,因此固定IP并不是客户端验证的可靠方法。所以我在考虑evercookies,我可以让一名工作人员从计算机登录办理登机手续的网站设置一个evercookie然后注销,以防止使用lat登录访问网站上的其他工具。当加载登记站点时,它会检查evercookie,只要满足某个阈值,就会显示登记页面。这样可以绕过php / apache的会话超时。

或者我正在咆哮错误的树,有更好的方法来指责授权客户?

1 个答案:

答案 0 :(得分:0)

依靠evercookie让你开始进行cookie劫持。

在您的情况下,有人可以窃取evercookie ID,并从另一台计算机上使用它,使您的应用程序相信它接收来自其中一个特定桌面的请求。 evercookie id可能会被一位老练的用户直接从机器上偷走。

在这种情况下,使用强大的Cookie ID,强大的哈希值,大量的熵等等都无济于事。

更改evercookie标识符通常会使之前被盗的cookie无效。但是,这需要有人手动干预以定期重新生成cookie。这可以自动化,更新的cookie ID可以通过安全连接使用自定义软件推送到您的服务器,但这可能会导致软件被盗并在另一台机器上使用。

根据经验,取决于客户端唯一标识自身是不可靠的。

如果您的IP地址是通过DHCP分配的,但来自某些可预测的设置,您可以根据已知的IP范围实施IP检查。

您可以在机器上部署自定义软件,并且"握手"从服务器到它。它可以基于硬盘驱动器序列号,MAC地址等生成唯一ID。但是,您的自定义软件可能被高级用户窃取并安装在其他地方,或者进行逆向工程。