作者inventorr (風之子)
看板PHP
標題Re: [請益] 檢查是否登入更安全的做法?
時間Sun Aug 28 19:26:24 2011
回應一下上面的推文
cookie的資料放在clint端
所以如果駭客想竊取某個user的資料
需要入侵user個別的電腦(但是不知道user的ip是否就沒辦法?)
session的資料放在server端
這樣的話 是不是駭客的目標反而更明顯 而且受影響範圍可以更大
而且不需要知道user ip就可以從session中找到一推帳號密碼?
看過前面cookie與session的討論 瞭解session是比較安全
但是想請問小弟上面的想法有錯嗎?
※ 引述《inventorr (風之子)》之銘言:
: 大家好 想請問一下
: 有些網頁需要登入後才可瀏覽
: 一般都是檢查 是否有設定 某個欄位(ex:password) 的cookie or session
: 我個人目前是檢查 userid 跟 password 的cookie有沒有設定
: 不過現在忽然覺得 只檢查有沒有設定 是不是安全性有點弱呢
: 因為user可以自己隨便設定
: 但如果那些頁面都去開資料庫檢查 userid 與 password是否正確 卻又有點覺得不必要
: 不知道大家有沒有折衷的想法 (不用session的話)
: 目前有想到對cookie加密
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.250.23.116
※ 編輯: inventorr 來自: 111.250.23.116 (08/28 19:27)
1F:→ knives:建議你可以去看一下人家那些open source的登入怎麼做,dz、 08/28 19:29
2F:→ knives:phpbb也都用cookie難道人家就不知道session比較安全嗎 08/28 19:29
3F:推 chchwy:密碼根本就不應該出現在session或者cookie裡阿 08/28 19:31
4F:推 LaPass:session是放在伺服器中的吧? 會比cookie難拿到 08/28 19:35
5F:→ cokellen:在session中存帳號密碼? 倒是沒看過這種做法.... 08/28 19:43
6F:推 arrack:都可以入侵SESSION,直接抓DB就好了..何必看SESSION 08/28 21:19
7F:→ arrack:在SESSION中,當然是不存密碼的.. 08/28 21:20
8F:→ arrack:第一行打錯了 都可以入侵SERVER了 08/28 21:20
9F:→ arrack:SESSION也是建構在COOKIES上的解決方案... 08/28 21:20