2

几天前,我在 Pyramid 框架上启动了我的网站,出于性能原因,我选择session.type = cookiepyramid_beaker。所以在cookie中我加密了user_id,它看起来像这样:

usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int" 
# for example here is encrypted id 1

而不是我试图用饼干代替。我已经在 id 2 下登录,更改了之前的 cookie,现在我在 id 1 下自动登录了!!!

正常吗?安全吗???用它的超级算法加密还有什么用?那么,某些病毒可以窃取某些用户的 cookie 并以他的 id 登录吗?安全在哪里???

谁能解释我?谢谢!

4

1 回答 1

5

是的,会话 cookie 很容易被盗并被用来冒充登录用户。您可以通过缩短会话的生命周期和/或将会话绑定到客户端的 IP 地址来在一定程度上最小化这种风险,但对于专门的黑客来说,这些只是绊脚石。唯一真正的解决方案是使用 SSL 完全加密会话。这就是为什么许多流行网站(Gmail、Facebook 等)提供或需要 HTTPS 会话,以及为什么存在 Firefox 扩展HTTPS Everywhere的原因。

于 2012-02-14T15:16:18.733 回答