62,074
社区成员
发帖
与我相关
我的任务
分享关于无COOKIE会话状态的安全性.
NET2.0新支持了无COOKIE的会话状态,在URL中加入身份数据,网上说这样做最大的问题是别人获取你的URL后可以直接使用验证内容,我的水平很低不会搞破坏,想问下高手,获取别人的URL很容易么?通常都用什么方法能获取?如果启用无COOKIE会话应该怎么加强安全性,顺便再问下,怎么非法获取启用COOKIE状态下的COOKIE?NET中常用的加密数据手段对于COOKIE的保护性到底强不强?
...全文
请发表友善的回复…
发表回复
cmoonc 2006-10-27
- 打赏
- 举报
呵呵,说的也是,如果解密跟解压缩一样简单的话,那我们还加密干吗?我觉的虽然理论上说没有解不了的密,但我觉的会破解密码的人毕竟是极少数人,绝大多数人是轻易解不了密的.
listhome 2006-10-27
- 打赏
- 举报
用的3DES加密 然后Base64,
十分钟够长吧
十分钟够长吧
listhome 2006-10-27
- 打赏
- 举报
sp1234(没有心情,没有心情短语) ( ) 信誉:100 Blog 2006-10-27 11:16:00 得分: 0
加密?有一点作用,也没有什么作用。
大多数个人搞得加密应用,如果需要解密,使用解密程序和一个好一点的机器,在一眨眼的功夫也就解密了。何况还有很多将解密加速的方式,例如给特定的加密源发送一个假消息,让其加密,就能迅速知道它是如何加密的了。还可以看到部分源程序(有人甚至用javascript在客户端解密——可笑的加密解密)。
给出原来的字符串就行了!
真服了你的,
listhome 2006-10-27
- 打赏
- 举报
请楼上帮解一下密,急用,十分钟够了吧
iC80vs1lz6LZBGAv3hKryohthtvd3bXREYYAU2JvI1ipSbDlojAFuil4jxwyQDNfYOGYf5vSBUVJrcU3KsOOkw==
iC80vs1lz6LZBGAv3hKryohthtvd3bXREYYAU2JvI1ipSbDlojAFuil4jxwyQDNfYOGYf5vSBUVJrcU3KsOOkw==
以专业开发人员为伍 2006-10-27
- 打赏
- 举报
此方法的复制操作方便,对于那些对网络通讯完全无知的人也可以操作,这是其不安全的地方。
以专业开发人员为伍 2006-10-27
- 打赏
- 举报
Q: 如果启用无COOKIE会话应该怎么加强安全性
——————————————————————————————————————————
A: 将SessionID保存在url中,这支持客户端不支持Cookie的方式。此时,所有信息都仅仅是这一个编码而已,其它信息统统保存在服务器端,因此对这些数据不用考虑安全性——是最安全的。但是,此SessionID确比较显眼,容易让人复制,而复制了此SessionID到自己的请求服务器的url中,也就冒充了别人的身份——还不是最安全的。
web的session通常20分钟就过期了,所以此编号如果被复制,过20分钟可能就无用了。我一时想不起如何加强此类方法的安全性。
此方法应该说从技术上是最安全的。即使不使用此方法,SessionID照样也会方便地被监听到,因此对SessionID的保护此方法并不弱。同时此方法强制不去使用Cookies,也就对用户数据安全多了。
——————————————————————————————————————————
A: 将SessionID保存在url中,这支持客户端不支持Cookie的方式。此时,所有信息都仅仅是这一个编码而已,其它信息统统保存在服务器端,因此对这些数据不用考虑安全性——是最安全的。但是,此SessionID确比较显眼,容易让人复制,而复制了此SessionID到自己的请求服务器的url中,也就冒充了别人的身份——还不是最安全的。
web的session通常20分钟就过期了,所以此编号如果被复制,过20分钟可能就无用了。我一时想不起如何加强此类方法的安全性。
此方法应该说从技术上是最安全的。即使不使用此方法,SessionID照样也会方便地被监听到,因此对SessionID的保护此方法并不弱。同时此方法强制不去使用Cookies,也就对用户数据安全多了。
以专业开发人员为伍 2006-10-27
- 打赏
- 举报
加密?有一点作用,也没有什么作用。
大多数个人搞得加密应用,如果需要解密,使用解密程序和一个好一点的机器,在一眨眼的功夫也就解密了。何况还有很多将解密加速的方式,例如给特定的加密源发送一个假消息,让其加密,就能迅速知道它是如何加密的了。还可以看到部分源程序(有人甚至用javascript在客户端解密——可笑的加密解密)。
大多数个人搞得加密应用,如果需要解密,使用解密程序和一个好一点的机器,在一眨眼的功夫也就解密了。何况还有很多将解密加速的方式,例如给特定的加密源发送一个假消息,让其加密,就能迅速知道它是如何加密的了。还可以看到部分源程序(有人甚至用javascript在客户端解密——可笑的加密解密)。
以专业开发人员为伍 2006-10-27
- 打赏
- 举报
这不是asp.net2.0新支持的,是asp.net1.0以及更早——2000年以前——就支持的。
随便装一个免费的网络管理软件,就能监视和记录下所有(以及制定范围)经过你的网卡的信息(尽管其并不是发给你的机器的),如果你监视的是网关网卡就可以看到的更多。你可以看到你的同事们都用msn聊什么,因为msn默认是使用未加密的方式发送信息的。
那么,作为访问命令的url,以及每一访问都会在客户端和服务器之间来回复制的cookies,自可以全部截取下来。internet就相当于收音机,收音机给你过滤特定频道的信息,但是你完全可以编程改变其操作方式,变成自己需要的那种窃听设备。
随便装一个免费的网络管理软件,就能监视和记录下所有(以及制定范围)经过你的网卡的信息(尽管其并不是发给你的机器的),如果你监视的是网关网卡就可以看到的更多。你可以看到你的同事们都用msn聊什么,因为msn默认是使用未加密的方式发送信息的。
那么,作为访问命令的url,以及每一访问都会在客户端和服务器之间来回复制的cookies,自可以全部截取下来。internet就相当于收音机,收音机给你过滤特定频道的信息,但是你完全可以编程改变其操作方式,变成自己需要的那种窃听设备。
真相重于对错 2006-10-27
- 打赏
- 举报
可以考虑ssl
