我需要清楚基于cookie的会话是如何工作的。我正在构建一个应用程序,我在其中对用户进行身份验证,并且在成功进行身份验证后,我会将一个GUID标记为他的用户进入会话,然后将其作为cookie保留。现在,当用户登录时,是为了防止有人嗅探流量,窃取用户cookie的内容并在自己的端创建cookie并以该人身份登录我的网站?另一种情况可能是,如果我有物理访问该人登录的机器,我也可以窃取cookie的内容并模仿用户。
答案 0 :(得分:5)
是什么阻止某人嗅探流量,窃取用户cookie的内容并在自己的端创建cookie并以该人身份登录我的网站?
SSL - 阻止它的唯一方法是在HTTPS上运行您的网站。
我可以实际访问此人登录的计算机
一旦您对机器进行物理访问,所有安全方法都没有实际意义。你无能为力。
答案 1 :(得分:0)
我想你在这里有两个问题。关于第二个,您不应该将会话密钥存储在cookie中并使其保持比会话更长的时间,将cookie上的超时设置为快速到期并在合理时尽快使服务器上的会话失效并且cookie变为无用。如果您通过电汇传输重要信息,请使用https。
答案 2 :(得分:0)
请阅读:http://www.linuxforu.com/2009/01/server-side-sessions/
用了几秒钟的谷歌搜索 本文将回答您关于阻止某人嗅探流量,窃取用户cookie的内容以及在自己的一端创建cookie以及以该人身份登录您网站的问题。