如果我注册一个网站并且该网站向我发送了一个可以识别我身份的cookie和ID,那么如果他们获得此cookie,其他人是否可以冒充我? 如果有人知道cookie的格式并猜测ID,他们会这样冒充我吗? 此外,赞赏讨论这些事情的任何材料。
答案 0 :(得分:2)
这两个问题的答案都是合格的“是”。但是,这两种模仿都可能非常困难。导致很难从cookie中窃取会话ID的事情:
使用https。您和服务器之间的所有通信都是加密的,并且非常难以入侵。
如果服务器正在使用PHP会话,则cookie中的ID很长且难以猜测。
即使没有这些,拦截cookie也很困难,因为犯罪者必须让他/她的计算机监听往返IP地址或服务器IP的传输。
最佳安全性是长ID(PHP会话)和https的使用。
如果你正在开发,这里有一些很好的信息:http://thinkvitamin.com/code/how-to-create-totally-secure-cookies/