クッキーベースのセッションの仕組みについていくらか明確にする必要があります。私はユーザーを認証するアプリケーションを構築しています。認証に成功すると、そのユーザーを識別するGUIDがセッションに格納されます。セッションのGUIDはCookieとして保持されます。ユーザーがログインすると、誰かがトラフィックを盗聴することを防ぎ、ユーザーのCookieの内容を盗み出し、自分の目的のためにCookieを作成し、そのユーザーとして自分のサイトにログインしますか?もう1つのシナリオは、ユーザーがログインしているマシンに物理的にアクセスした場合、Cookieの内容を盗み、ユーザーとして偽装することもできます。クッキーベースのセッションのセキュリティ
誰かがトラフィックを盗聴して、そのユーザーのCookieの内容を盗み出し、自分の目的のためにCookieを作成し、そのユーザーとして自分のサイトにログインしないようにするにはどうすればよいですか?
SSL - これを停止する唯一の方法は、HTTPSでWebサイトを実行することです。
私はあなたがすべてのあなたのセキュリティ方式は議論の余地があるマシンに物理的にアクセスを持っていたら、人は
に記録されたマシンに物理的にアクセスを持っていました。あなたはこれについて何もすることはできません。
ここには2つの質問があると思います。 2つ目は、セッションキーをクッキーに保存してセッションよりも長くしないようにし、クッキーのタイムアウトをすぐに期限切れに設定し、サーバー上のセッションを無効にして、役に立たない。有線を介して重要な情報を流している場合は、httpsを使用してください。
これを読んで:http://www.linuxforu.com/2009/01/server-side-sessions/
は、この記事では、トラフィックを盗聴ユーザーのCookieの内容を盗み、自分の終わりにクッキーを作成するから誰かを阻止し、あなたにログインに関するご質問にお答え をグーグルのカップル秒かかりましたその人としてのサイト。