关于无COOKIE会话状态的安全性.

cmoonc 2006-10-27 10:56:45
NET2.0新支持了无COOKIE的会话状态,在URL中加入身份数据,网上说这样做最大的问题是别人获取你的URL后可以直接使用验证内容,我的水平很低不会搞破坏,想问下高手,获取别人的URL很容易么?通常都用什么方法能获取?如果启用无COOKIE会话应该怎么加强安全性,顺便再问下,怎么非法获取启用COOKIE状态下的COOKIE?NET中常用的加密数据手段对于COOKIE的保护性到底强不强?
...全文
116 9 打赏 收藏 举报
写回复
9 条回复
切换为时间正序
请发表友善的回复…
发表回复
cmoonc 2006-10-27
  • 打赏
  • 举报
回复
呵呵,说的也是,如果解密跟解压缩一样简单的话,那我们还加密干吗?我觉的虽然理论上说没有解不了的密,但我觉的会破解密码的人毕竟是极少数人,绝大多数人是轻易解不了密的.
listhome 2006-10-27
  • 打赏
  • 举报
回复
用的3DES加密 然后Base64,



十分钟够长吧
listhome 2006-10-27
  • 打赏
  • 举报
回复

sp1234(没有心情,没有心情短语) ( ) 信誉:100 Blog 2006-10-27 11:16:00 得分: 0


加密?有一点作用,也没有什么作用。

大多数个人搞得加密应用,如果需要解密,使用解密程序和一个好一点的机器,在一眨眼的功夫也就解密了。何况还有很多将解密加速的方式,例如给特定的加密源发送一个假消息,让其加密,就能迅速知道它是如何加密的了。还可以看到部分源程序(有人甚至用javascript在客户端解密——可笑的加密解密)。






给出原来的字符串就行了!

真服了你的,
listhome 2006-10-27
  • 打赏
  • 举报
回复
请楼上帮解一下密,急用,十分钟够了吧

iC80vs1lz6LZBGAv3hKryohthtvd3bXREYYAU2JvI1ipSbDlojAFuil4jxwyQDNfYOGYf5vSBUVJrcU3KsOOkw==
  • 打赏
  • 举报
回复
此方法的复制操作方便,对于那些对网络通讯完全无知的人也可以操作,这是其不安全的地方。
  • 打赏
  • 举报
回复
Q: 如果启用无COOKIE会话应该怎么加强安全性
——————————————————————————————————————————
A: 将SessionID保存在url中,这支持客户端不支持Cookie的方式。此时,所有信息都仅仅是这一个编码而已,其它信息统统保存在服务器端,因此对这些数据不用考虑安全性——是最安全的。但是,此SessionID确比较显眼,容易让人复制,而复制了此SessionID到自己的请求服务器的url中,也就冒充了别人的身份——还不是最安全的。

web的session通常20分钟就过期了,所以此编号如果被复制,过20分钟可能就无用了。我一时想不起如何加强此类方法的安全性。

此方法应该说从技术上是最安全的。即使不使用此方法,SessionID照样也会方便地被监听到,因此对SessionID的保护此方法并不弱。同时此方法强制不去使用Cookies,也就对用户数据安全多了。
  • 打赏
  • 举报
回复
加密?有一点作用,也没有什么作用。

大多数个人搞得加密应用,如果需要解密,使用解密程序和一个好一点的机器,在一眨眼的功夫也就解密了。何况还有很多将解密加速的方式,例如给特定的加密源发送一个假消息,让其加密,就能迅速知道它是如何加密的了。还可以看到部分源程序(有人甚至用javascript在客户端解密——可笑的加密解密)。
  • 打赏
  • 举报
回复
这不是asp.net2.0新支持的,是asp.net1.0以及更早——2000年以前——就支持的。

随便装一个免费的网络管理软件,就能监视和记录下所有(以及制定范围)经过你的网卡的信息(尽管其并不是发给你的机器的),如果你监视的是网关网卡就可以看到的更多。你可以看到你的同事们都用msn聊什么,因为msn默认是使用未加密的方式发送信息的。

那么,作为访问命令的url,以及每一访问都会在客户端和服务器之间来回复制的cookies,自可以全部截取下来。internet就相当于收音机,收音机给你过滤特定频道的信息,但是你完全可以编程改变其操作方式,变成自己需要的那种窃听设备。
真相重于对错 2006-10-27
  • 打赏
  • 举报
回复
可以考虑ssl
相关推荐
发帖
.NET社区

6.1w+

社区成员

.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
帖子事件
创建了帖子
2006-10-27 10:56
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。