网站会话与禁用的cookie,javascript,HTTP Referer和没有GET / POST?

时间:2015-07-20 08:12:59

标签: session cookies https digest

我的问题可能很常见;) 我想为网站实现用户会话。这项工作的限制是:

  • 它必须在没有cookie的情况下工作,因为它们可以被禁用。
  • 必须在没有在GET和/或POST表单变量中传递会话ID(或与会话相关的id)的情况下工作。
  • 必须在不检查HTTP Referer头字段的情况下工作,因为这可能是空的。
  • 它必须在没有JavaScript的情况下工作,因为这可以被禁用。

我唯一发现的是使用HTTPS(无论如何都是一个不错的选择......)和#34;摘要访问身份验证"。唯一的缺点是MD5被用作被认为不安全的散列机制。

有没有办法通过应用上述限制来建立一个不容易被劫持的用户会话? Digest访问身份验证是否解决了这个问题以及可能存在的缺点?

编辑: 我发现了另一种可能有效的方法:如果站点只是HTTPS,那么可以在服务器端获取SSL / TLS会话标识符(例如,如果在服务器端使用Perl则使用mod_perl)并使用该会话ID。请注意,必须单独完成与一个此类会话ID的用户关联。但仍然采用这种方法,服务器端始终具有有效的安全会话ID。 这是对的吗?

1 个答案:

答案 0 :(得分:0)

如上所述:https://security.stackexchange.com/questions/48856/is-using-an-ssl-session-id-along-with-a-cookie-based-session-verification-more-s

最简单,最安全的方法(鉴于我迄今收集的信息)似乎是:

  • 本网站仅限HTTPS。
  • 会话ID SSL / TLS会话标识符,此ID存储在数据库中,可能与用户帐户记录关联,也可能不关联(用户身份验证通过HTTPS使用普通表单完成然后)。

如果有人有更好的方法,我会很高兴看到它。

相关问题
最新问题