我有一个询问,现在这对我来说是一个严重的头脑风暴问题。首先做一件事,从手机访问 m.facebook.com,然后登录,然后从计算机登录并从该计算机更改密码,在更改密码时,系统会询问您是否取消对您的设备的身份验证以前登录过。如果你选择让他们登录,然后再次从手机打开fb,那么你不需要再次登录,现在问题是如何?因为如果 fb 不将散列密码存储在 cookie 中,那么它存储了什么并且它是安全的?有人知道这个登录认证系统吗?
问问题
422 次
1 回答
0
FB 可能正在使用一个寿命很长的 cookie。此 cookie 的值是用于从数据库中提取信息的大随机数。
将密码哈希存储在 cookie 中是一个非常愚蠢的漏洞,以至于仅仅阅读它就伤害了我的眼睛。 它也是我在野外利用的东西。
于 2012-10-27T01:13:59.213 回答