请教, 关于session安全的问题! 分数多多!

taozabc 2002-03-22 10:22:02
有个权限登陆的问题,用session传递了权限,使用检查Session的方法来防止用户未经登陆就访问其中的保护页面, 但是听说使用session的方法并不安全。是吗??不安全性有表现在哪儿?
另外,各位英雄在处理此安全问题时,是如何做的,请多多指教!
欢迎讨论!

各抒己见,只要有道理, 分数少不了。
...全文
8 点赞 收藏 17
写回复
17 条回复
切换为时间正序
请发表友善的回复…
发表回复
weidegong 2002-03-26
Session是存在服务器端的,主要的是占用服务器端的资源。
回复
kicku 2002-03-26
SET是用于信用卡的网上支付的,www.setco.org。
回复
taozabc 2002-03-26
稍等,

set 用于支付是什么意思?
有无资料看看
回复
taozabc 2002-03-26
上分!
回复
kicku 2002-03-26
SET与这个事没关系,SET是用于支付的。
回复
可乐加水 2002-03-25
对于使用了session技术的页面,一般的欺骗技术是不能混过去的,如果说有安全漏洞,那我们应该想到,哪个东西不存在安全隐患呢?
回复
taozabc 2002-03-25
那又为什么说他很占系统资源呢? 是占用网络,客户机 还是服务器的?
回复
java_alias 2002-03-25
几乎所有JSP书中都说session不是很安全,但是对于不是非常机密的应用已经足够了.漏洞总会有的,只有更好,没有最好
回复
scarab 2002-03-25
笨笨对此是否有研究?能说一下吗?
回复
jimjxr 2002-03-25
Session一般是靠HTTP头中的Cookie来维持的,只要能截获并破译HTTP的头部分就能得到Cookie从而使你能够伪装成别人的Session,而一般的HTTP连接是不加密的,所以。。。最简单的解决办法是用SSL。
回复
mcseyie 2002-03-25
既然知道不是很安全,那就得有较好的解决方法
回复
weidegong 2002-03-24
Session本身没有什么不安全的吧
回复
tyscon 2002-03-24
我也想知道!
回复
taozabc 2002-03-23
To yanchang:

set方式是什么?? 可否讲讲?



回复
gogoboys 2002-03-22
我就是这么做的啊 你听说的什么??
回复
wes109 2002-03-22
看你做什么了?

我就只会用session
回复
yanchang 2002-03-22
那看你的要求了,
比如说论坛真样的session可以了,
能满足需求了

的确可以有办法欺骗过session的验证,
不过那好象是黑客技术

安全的方法是通过SSL或SET方式
回复
发动态
发帖子
Web 开发
创建于2007-09-28

7.9w+

社区成员

Java Web 开发
申请成为版主
社区公告
暂无公告