作者 主題: 【網路安全】Session 的安全性  (閱讀 6604 次)

0 會員 與 1 訪客 正在閱讀本文。

achilles

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
    • http://www.vixual.net/
【網路安全】Session 的安全性
« 於: 2003-12-04 11:48 »
現在的網站在設計時,都會使用 Cookie 或 Session 來識別使用者的資料,
雖然 Session 的安全性已增加了,但他仍需儲存一個指標在 Cookie 裡。
(甚至 PHP 也支援在 URL 上傳遞 Session 的值)

問題是這樣的,假設 A 登入某個網站(例如:Study_Area),且有選取"自動登入"或"記住我的帳號",
該網站雖然有用 Session 儲存資料在 Server 端,
但仍需儲存一個 Session 的指標在 Client 端的 Cookie 內。

現在 B 用"特殊方法"取得 A 電腦的 Cookies,
雖然 B 沒有從 Cookie 裡取得 A 在 Study_Area 內的帳號及密碼,
但 B 如果把自己的 Cookie 改成跟 A 一樣的 Cookie,
那會不會 B 就變成 A,而且可以直接登入 Study_Area 了?
Vixual 網路視野
http://www.vixual.net/

shengeih

  • 鑽研的研究生
  • *****
  • 文章數: 970
    • 檢視個人資料
【網路安全】Session 的安全性
« 回覆 #1 於: 2003-12-04 14:02 »
所以在是用公用電腦的話最好要離開時先清理一下 Cookie 和 Temp Files

willie0220

  • 憂鬱的高中生
  • ***
  • 文章數: 142
    • 檢視個人資料
【網路安全】Session 的安全性
« 回覆 #2 於: 2004-02-01 16:01 »
在設計程式時

可以在和伺服器斷線時

來個session_destroy();

應該就沒這樣的問題了

台灣阿堂

  • 憂鬱的高中生
  • ***
  • 文章數: 185
    • 檢視個人資料
【網路安全】Session 的安全性
« 回覆 #3 於: 2004-02-01 19:42 »
那要如何判斷使用者已經沒有在瀏覽網頁了呢?

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
【網路安全】Session 的安全性
« 回覆 #4 於: 2004-02-01 19:53 »
在主機利用檔案或資料庫把 session 的相關 ip, 時間... 等資料存起來.
就可以用來檢查是否仍為合法的 session.