62,046
社区成员
发帖
与我相关
我的任务
分享关于登录cookie信息加密有何意义?
很多程序在用cookie保存用户登录信息时,如帐户名与密码,通常都对值进行了加密,
如MD5或Base64等常见加密算法。目的嘛,当然是为了安全。不过这种加密对安全会有帮助?
大家可能会想,对数据加密了,就算你得到了cookie,你也不知道真实的值是什么,所以没有用。
真是这样吗?
既然有人已恶意得到某个已登录帐户的cookie值(如通过跨站攻击XSS/CSS方法),人家根本没必要
对你的加密进行解密,直接将得到的“加密后的cookie”放在操作系统相应的位置,然后通过浏览器
浏览相应的网站,这个网站就会通过cookie判断“此用户已登录”,如此看来,加密似乎没什么必要
,也无意义。
所以防备COOKIE泄露,防御XSS/CSS攻击才是正道。
以上只是个人的想法,肯定有狭隘之处,请高手指出,我这种理解错误在哪里。
如MD5或Base64等常见加密算法。目的嘛,当然是为了安全。不过这种加密对安全会有帮助?
大家可能会想,对数据加密了,就算你得到了cookie,你也不知道真实的值是什么,所以没有用。
真是这样吗?
既然有人已恶意得到某个已登录帐户的cookie值(如通过跨站攻击XSS/CSS方法),人家根本没必要
对你的加密进行解密,直接将得到的“加密后的cookie”放在操作系统相应的位置,然后通过浏览器
浏览相应的网站,这个网站就会通过cookie判断“此用户已登录”,如此看来,加密似乎没什么必要
,也无意义。
所以防备COOKIE泄露,防御XSS/CSS攻击才是正道。
以上只是个人的想法,肯定有狭隘之处,请高手指出,我这种理解错误在哪里。
...全文
请发表友善的回复…
发表回复
yikai25 2012-08-05
- 打赏
- 举报
加个时间戳就可以解决了,比如30分钟,30分钟后就算你盗取了cookie,已经过期了哦
newdigitime 2009-08-06
- 打赏
- 举报
楼上的,你想想你在CSDN自动登录是如何实现的?
另外你说的需要和数据库对比验证.那是当然的.
不过你想过没有,如果 合法用户能用同一个cookie通过验证,
那么盗取者用同样的cookie,就无法通过验证了?
另外你说的需要和数据库对比验证.那是当然的.
不过你想过没有,如果 合法用户能用同一个cookie通过验证,
那么盗取者用同样的cookie,就无法通过验证了?
白s菜 2009-08-06
- 打赏
- 举报
说个简单的
本地cookies
userid...md5
pwd....md5
userid+pwd ...md5
你伪造 pwd? userid加密后的cookie?
userid+pwd 会和数据库读出的ID+PWD比较的...
难道验证cookie都只去确定他存在 而不去数据库对比吗?
不过有的地方也不需要去对比数据库的数据
本地cookies
userid...md5
pwd....md5
userid+pwd ...md5
你伪造 pwd? userid加密后的cookie?
userid+pwd 会和数据库读出的ID+PWD比较的...
难道验证cookie都只去确定他存在 而不去数据库对比吗?
不过有的地方也不需要去对比数据库的数据
