[問題] 使用session安全嗎?

作者sing10407 (阿U)

看板Web_Design

標題[問題] 使用session安全嗎?

時間Thu Dec 19 13:45:55 2013

使用Session當成登入狀態好像是滿常實作的比如說用session紀錄我的user id , 然後此網頁當要取得我資料時 , 就使用我的user id session 當key下去搜尋我的資料而 Session 在產生後，會在client browser 產生一個cookie來對應到server的session(有錯誤請指正) 請問browser的cookie會容易被偽造而使駭客使用別人的session登入網站嗎? 還是大家有沒有什麼建議的設計方式? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.246.218.107

→ danny8376:cookie很容易修改啊所以現在才會全HTTPS(雖然不完全是 12/19 14:00

→ danny8376:不過要是你登入資料塞cookie更危險就是 12/19 14:01

→ danny8376:你可以另外去驗證session合法性像是IP之類的 12/19 14:02

推 jenesis:cookie變造超簡單的就只是一個string而已... 12/20 00:27

→ a926:額外用一組seesion當成本次連線的token. token用RSA之類的 12/20 08:54

→ a926:演算法加密。這樣只有你有key才能解密。(沒外流的話) 12/20 08:54

推 inker610566:堵好xss偷cookie的洞不是就很安全了嗎 12/24 17:07

→ inker610566:session也有時效性應該不可能偷到就用一輩子吧 12/24 17:08

→ inker610566:還有一樓https防MIMA但偽造session真有可能？ 12/24 17:15

→ TonyQ:沒有 https 的話還是可能在公用網路被 network sniffer 偷 12/24 17:36

→ danny8376:樓樓上我啥時說偽造session了... 只要偷到cookie 12/25 17:06

→ danny8376:沒特別處理過的就能直接拿來用了 12/25 17:06

→ danny8376:另外session確實會有時效性不過重點是偷到後能做的事 12/25 17:07