是什么阻止了某人登录到网站 Z。进入保存网站 Z 的 Session_Id 的 cookie,并摆弄它以成为服务器识别的其他人?
user656925
问问题
135 次
4 回答
2
是什么阻止了某人登录到网站 Z。进入保存网站 Z 的 Session_Id 的 cookie,并摆弄它以成为服务器识别的其他人?
您实际上必须知道另一个会话 ID 才能执行此操作。会话 ID 非常长且故意随机,因此您无法猜测其他用户的 ID。
于 2012-05-31T14:33:09.010 回答
1
如果我们谈论 php session,答案是“没有人保护他们”!
您必须做一些事情以使其“更安全”。
- 使用 SSL 进行身份验证
- 使会话 ID 随时间过期
- 检查 IP 和 USER AGENT(好的,可以绕过)
等等 ...
于 2012-05-31T14:31:28.887 回答
1
只有会话 ID 的长度和基数。如果它很长,则需要数万亿(或更多)次尝试才能发现碰撞。较长的 id 将可能的 id 的数量乘以散列的基数,因此如果您的散列包含数字和小写字母,则每个额外的字符都会将可能性乘以 36。
一个 20 个字符的散列会给你 36^20 种不同的可能性。如果将 id 的长度加倍,您将获得 36^40 种不同的可能性。让任何人都更难强行进入另一个帐户。
于 2012-05-31T14:35:36.003 回答
0
在某些情况下(CodeIgniter 框架),您可以加密您的 cookie,这使得这种攻击更加困难。
最终,作为开发人员的您要对安全性负责,没有什么是开箱即用的,只需遵循适当的安全准则来开发安全的应用程序。
于 2012-05-31T14:36:22.957 回答