我的网站将用户名和MD5用户密码保存在cookie中以便登录。 我的问题是,用户PC中的特洛伊木马可以窃取该cookie并在另一台PC中使用它吗?如果可以,什么是记住用户的安全解决方案?
答案 0 :(得分:3)
当然可以。
您可以将用户的IP混合到MD5中,但它仍然不能保护用户100%(因为木马可以使用用户的IP以及窃取cookie)。
只要木马使用同一台计算机,用户和木马之间没有区别,因此理论上不可能提供保护。
答案 1 :(得分:1)
特洛伊木马可以访问受感染PC上存储的任何文件,包括cookie。您可以采取哪些措施来降低风险,即在cookie中存储唯一的票证ID而不是散列密码,并在服务器上为该票证保存一些其他信息 - 浏览器版本,操作系统等,并且只接受如果元数据也匹配,则为ticket。也就是说,它仍然不是那么安全;如果您的Web服务非常重要,那么您最好每次都要求输入密码。 (但是因为特洛伊木马也可能安装了一个键盘记录器,但这还不够安全......)
答案 2 :(得分:1)
特洛伊木马还可以记录用户在键盘上按下的按键,因此您不应该担心它,因为您无法对此做任何事情。用户有责任防范恶意软件。
您应该担心的是man-in-the-middle attacks,MD5 is not secure以及您应该将salt添加到哈希的事实。
顺便说一下,大多数网站都使用cookie来存储用户名和密码,而不是短暂的会话ID。当用户点击"退出时,这些会话ID将变为无效。按钮。