3
我是ASP.net的webdev的新手。在Web应用程序中安全“记住我”
我的问题是如何确保安全的“记住我”功能。 目前,我正在将一个对象序列化为一个cookie,以便将来对用户进行身份验证。
但现在我的想法是,如果有人复制我的cookie,他将能够登录与黑客入侵的人的帐户。记住不同会话之间的人的登录有更安全的版本吗?
最好的问候
A
回答
0
您可以在cookie中存储一些额外信息,如客户端IP地址。
3
“记住我”cookie通常包含一个长期会话密钥。通过存储关于最初创建cookie的计算机环境的额外信息,您可以更容易地使用被盗的cookie,并在接受cookie之前检查此信息。这被称为“设备指纹识别”。它可以非常精确,但它不是很容易做到,而且不是100%安全。
该ip号码可以是设备指纹的一部分,但移动设备上的ip号码发生变化的频率很高,所以会相当大地降低cookie的值。您可以检查http标题字段,如“用户代理”,“接受”,“接受语言”等。这些字段在两个不同的浏览器上通常会有所不同。您可以使用javascript并检查操作系统版本,Java版本等。
在服务器上存储设备指纹以及会话密钥将使记忆-me-cookie变得更加强大。但是,它仍然不是很安全。窃取cookie的攻击者可能也可以收集所有这些信息。
PS:另外请记住,如果用户知道cookie丢失,即他的电脑被盗,应该可以取消激活remember-me-cookie。
相关问题
- 1. Spring安全记住我在春天的MVC应用程序中不工作。
- 2. Web应用程序安全
- 3. Web应用程序安全
- 4. PHP:记住我和安全?
- 5. 在线安全的web应用程序
- 6. tomcat中的安全web应用程序
- 7. ASP.NET Web应用程序的安全库
- 8. Web应用程序安全测试
- 9. Struts2 web应用程序安全
- 10. Intranet Web应用程序安全
- 11. Scala Web应用程序安全
- 12. Restful Web应用程序安全
- 13. 避免记住我的安全问题
- 14. 弹簧安全“记住我”复选框
- 15. .NET Web应用程序的应用程序安全审计?
- 16. 安全地使用WebApi在Android中记住我
- 17. 我应该在Java Web应用程序中使用安全管理器吗?
- 18. 安全*记得我在vb.net赢得表格应用程序?
- 19. 在Rails应用程序中实现“记住我”
- 20. passport.js:记住我没有在快递应用程序中工作
- 21. 在Java Web应用程序中使用Ehcache是否安全?
- 22. 可以在.NET Web应用程序中安全使用点吗?
- 23. 在Java中,如何确保我的Web应用程序是线程安全的?
- 24. 使程序化记住我?
- 25. 安全验证如何在Web应用程序中工作
- 26. log4net在ASP.Net MVC Web应用程序中抛出安全异常
- 27. PHP web应用程序卡住加载
- 28. Web应用程序 - 如何记住最后一个查询?
- 29. ASP.Net Web应用程序,请记住性能和可伸缩性
- 30. 在Android应用程序中记住/忘记设备功能
查看http://stackoverflow.com/questions/3206622/is-putting-data-in-cookies-secure,想法是将一些已知值(旋转值)存储在数据库中,然后与一个已知值cookie – sll 2012-03-23 20:37:37