作者inventorr (风之子)
看板PHP
标题Re: [请益] 检查是否登入更安全的做法?
时间Sun Aug 28 19:26:24 2011
回应一下上面的推文
cookie的资料放在clint端
所以如果骇客想窃取某个user的资料
需要入侵user个别的电脑(但是不知道user的ip是否就没办法?)
session的资料放在server端
这样的话 是不是骇客的目标反而更明显 而且受影响范围可以更大
而且不需要知道user ip就可以从session中找到一推帐号密码?
看过前面cookie与session的讨论 了解session是比较安全
但是想请问小弟上面的想法有错吗?
※ 引述《inventorr (风之子)》之铭言:
: 大家好 想请问一下
: 有些网页需要登入後才可浏览
: 一般都是检查 是否有设定 某个栏位(ex:password) 的cookie or session
: 我个人目前是检查 userid 跟 password 的cookie有没有设定
: 不过现在忽然觉得 只检查有没有设定 是不是安全性有点弱呢
: 因为user可以自己随便设定
: 但如果那些页面都去开资料库检查 userid 与 password是否正确 却又有点觉得不必要
: 不知道大家有没有折衷的想法 (不用session的话)
: 目前有想到对cookie加密
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 111.250.23.116
※ 编辑: inventorr 来自: 111.250.23.116 (08/28 19:27)
1F:→ knives:建议你可以去看一下人家那些open source的登入怎麽做,dz、 08/28 19:29
2F:→ knives:phpbb也都用cookie难道人家就不知道session比较安全吗 08/28 19:29
3F:推 chchwy:密码根本就不应该出现在session或者cookie里阿 08/28 19:31
4F:推 LaPass:session是放在伺服器中的吧? 会比cookie难拿到 08/28 19:35
5F:→ cokellen:在session中存帐号密码? 倒是没看过这种做法.... 08/28 19:43
6F:推 arrack:都可以入侵SESSION,直接抓DB就好了..何必看SESSION 08/28 21:19
7F:→ arrack:在SESSION中,当然是不存密码的.. 08/28 21:20
8F:→ arrack:第一行打错了 都可以入侵SERVER了 08/28 21:20
9F:→ arrack:SESSION也是建构在COOKIES上的解决方案... 08/28 21:20