クッキーベースのセッションの仕組みについていくらか明確にする必要があります。私はユーザーを認証するアプリケーションを構築しています。認証に成功すると、そのユーザーを識別するGUIDがセッションに格納されます。セッションのGUIDはCookieとして保持されます。ユーザーがログインすると、誰かがトラフィックを盗聴することを防ぎ、ユーザーのCookieの内容を盗み出し、自分の目的のためにCookieを作成し、そのユーザーとして自分のサイトにログインしますか?もう1つのシナリオは、ユーザーがログインしているマシンに物理的にアクセスした場合、Cookieの内容を盗み、ユーザーとして偽装することもできます。クッキーベースのセッションのセキュリティ
0
A
答えて
5
誰かがトラフィックを盗聴して、そのユーザーのCookieの内容を盗み出し、自分の目的のためにCookieを作成し、そのユーザーとして自分のサイトにログインしないようにするにはどうすればよいですか?
SSL - これを停止する唯一の方法は、HTTPSでWebサイトを実行することです。
私はあなたがすべてのあなたのセキュリティ方式は議論の余地があるマシンに物理的にアクセスを持っていたら、人は
に記録されたマシンに物理的にアクセスを持っていました。あなたはこれについて何もすることはできません。
0
ここには2つの質問があると思います。 2つ目は、セッションキーをクッキーに保存してセッションよりも長くしないようにし、クッキーのタイムアウトをすぐに期限切れに設定し、サーバー上のセッションを無効にして、役に立たない。有線を介して重要な情報を流している場合は、httpsを使用してください。
0
これを読んで:http://www.linuxforu.com/2009/01/server-side-sessions/
は、この記事では、トラフィックを盗聴ユーザーのCookieの内容を盗み、自分の終わりにクッキーを作成するから誰かを阻止し、あなたにログインに関するご質問にお答え をグーグルのカップル秒かかりましたその人としてのサイト。
関連する問題
- 1. クッキーベースのセッション/認証に代わるもの
- 2. node-http-proxy経由のクッキーベースのセッションを維持する
- 3. セッションのレールとセキュリティ
- 4. C#クッキーベースの認証
- 5. セッション、Cookie、セキュリティ
- 6. PHPセッションとセキュリティ
- 7. ジャージーのセキュリティとセッション管理
- 8. キャッシングまたはクッキーベースのセッションを使用するサーバーサイドセッションに関する疑問
- 9. ヘッダーのリダイレクトとセッションとセキュリティの維持
- 10. .htaccessとセキュリティのためのセッション?
- 11. ASP.NET認証とセッションによるセキュリティ
- 12. セッションでセキュリティを実装する
- 13. セッション認証のためのSpringセキュリティのベストプラクティスとは
- 14. Springセキュリティ:SpringセキュリティがSessionRegistryに新しいセッションを登録する方法は?
- 15. nodejsのクッキーベースのセッションストア(connect、express)はありますか?
- 16. セッション[:user_id]を使ったRails認証のセキュリティ
- 17. セキュリティ上の問題:クッキー内でのみHTTPセッションを維持する
- 18. セキュリティ:http:春のセキュリティ設定?
- 19. ログイン画面でSpringセキュリティの同時セッション制御「メッセージ」をリダイレクトする方法は?
- 20. セッション変数を暗号化するセキュリティ上の利点はありますか?
- 21. SpringセキュリティのSecurityContextHolder:セッションまたは要求がバインドされていますか?
- 22. セッションのセッション4
- 23. 春:セキュリティの注釈同等:認証マネージャとセキュリティ:グローバル・メソッド・セキュリティ
- 24. Railsとセッションのセッションとローデスのセッション
- 25. ポップアップウィンドウのCookieセキュリティ
- 26. PythonのSHA512セキュリティ
- 27. アクションコマンドのJPasswordFieldセキュリティ
- 28. Firebirdデータベースのセキュリティ
- 29. オフラインアクセストークンのセキュリティ
- 30. MVC3マルチユーザーデータレベルのセキュリティ