我正在 Odoo 8 上为我的公司构建产品。我想知道如何防止我的应用程序被会话劫持。我为此采取了一些步骤:
成功登录和注销后更改会话 ID。
也使用 ssl 来加密客户端和服务器之间的数据。
但是我公司的安全团队没有签署我的产品,因为他们说我们可以复制登录的人的 cookie 并将其粘贴到其他浏览器中,并且可以轻松访问该帐户,但根据我的说法,如果机器是身体受损。我不知道我现在该怎么办。
对此的任何帮助都是不言而喻的。
我正在 Odoo 8 上为我的公司构建产品。我想知道如何防止我的应用程序被会话劫持。我为此采取了一些步骤:
成功登录和注销后更改会话 ID。
也使用 ssl 来加密客户端和服务器之间的数据。
但是我公司的安全团队没有签署我的产品,因为他们说我们可以复制登录的人的 cookie 并将其粘贴到其他浏览器中,并且可以轻松访问该帐户,但根据我的说法,如果机器是身体受损。我不知道我现在该怎么办。
对此的任何帮助都是不言而喻的。
如果您已正确配置 SSL,则攻击者将无法获取已登录用户的 cookie。唯一的方法是将其复制粘贴到登录用户的计算机上。但是,为什么不完全使用计算机而不费心复制粘贴 cookie 呢?
您可以通过要求他们破解您的帐户来证明他们 - 而无需给他们您的计算机。请记住,Odoo 中的大量数据传输是通过 JSON-RPC 完成的。因此,请确保也加密该数据。
这个答案给出了一些关于一般会话劫持的有价值的想法https://stackoverflow.com/a/12545243/4832607