我正在开发一个ajax应用程序,只是想知道在安全性方面有多少可靠的会话。
我可以依赖会话作为用户标识,让他们更改密码而不要求当前密码吗?
答案 0 :(得分:2)
答案 1 :(得分:0)
我不确定你的意思是什么安全性方面的可靠会话数。
但是,关于你的另一个问题,我永远不会允许用户在不提供当前密码的情况下更改他/她的密码。原因很简单:如果我坐在具有经过身份验证的会话的计算机上,我将能够在不实际拥有该帐户的情况下更改密码。
答案 2 :(得分:0)
会话存储在服务器端,因此它们尽可能安全。也就是说,仍有可能有人会窃取您网站的唯一会话密钥,然后让他们完全访问该用户的帐户,但这只是存储客户端内容的问题。
你可以做第二件事,但即使没有会议,你总是可以做到这一点......所以我不确定你要去哪里。输入当前密码仅用于其他安全措施/验证。
答案 3 :(得分:0)
会话使用cookie。该cookie容易受到所有基于cookie的攻击。包括火焰式袭击。
您可以更改PHP执行Cookie的方式,仅通过SSL(Https)发送它们。这有帮助,但不能阻止可以访问同一台机器的攻击获得访问权。
重新验证密码更换始终是个好主意。就像你永远不应该向用户显示他们的整个信用卡号码或SSN。
答案 4 :(得分:0)
密码应始终编码,所以我不明白为什么你必须将它存储在会话密码只需要一次登录到页面然后在会话中保存一些信息说用户签名可能是用户ID ..