asp中cookies安全问题
在网站中使用cookies,有什么安全性问题,请大家说说我经常听说cookies欺骗问题,但就是不知道怎么才能杜绝欺骗回答好的还可以加分如果我不是永久的cookies的话...
在网站中使用cookies,有什么安全性问题,请大家说说
我经常听说cookies欺骗问题,但就是不知道怎么才能杜绝欺骗
回答好的还可以加分
如果我不是永久的cookies的话(就是说我的cookies没有设置存活期),还有没有安全方面的问题呢?
还有就是cookies是什么时候生成,是关闭浏览器后,还是登陆后?
还有就是别人登陆了以后能不能修改cookies呢? 展开
我经常听说cookies欺骗问题,但就是不知道怎么才能杜绝欺骗
回答好的还可以加分
如果我不是永久的cookies的话(就是说我的cookies没有设置存活期),还有没有安全方面的问题呢?
还有就是cookies是什么时候生成,是关闭浏览器后,还是登陆后?
还有就是别人登陆了以后能不能修改cookies呢? 展开
8个回答
展开全部
看来楼主对cookies的使用是没有问题了,那么就关于cookies的简单原理过程就不在说了。
关于cookies的安全问题一句就是:用户可以任意修改存在他自己电脑上的cookies信息。
比如您的网站有两个用户,一个是“admin“,一个是“普通用户”,如果您的程序里识别了admin为管理员,那么,“普通用户”可以先正常登录,然后再通过一些软件修改存在自己电脑上的cookies信息,将“普通用户”改为“admin”那么,你就网站就会认为,他是admin管理员,如果你的网站没有再做进一步防范,那么他就可以成功的使用admin权限了。
这就是关于cookies对“你网站”的安全问题了,原理说清了,解决起来就简单了,仁者见仁,智者见智,方法不尽相同,能防范就行了。
cookies还可以造成一些其它安全问题,如果你的网站一些表单信息过滤不全,黑客可以在表单里写入一些js代码来获取其它用的cookies信息,对其它用户的安全带来威胁,不过这些不会对你的网站安全有损坏,所以不必着急,重要的是第一个。
------------------------------------------------------------
补充回答:
如果你的网站登录时没有设置cookies存活期,就不会有安全问题,即用户在登录的时候只能登录,不能选择保存,当然你的程序里也确定不能有保存存活期,这样就不会有问题了,因为没有存活期的cookies,在关闭浏览器时,cookies就不存在了。(黑客修改cookies的内容后比需重启浏览器才能生效,所以两者有必然的冲突,所以是安全的)
cookies是在用户登录的同时生成的,没有存活期的cookies好像不能修改,我没改成功过。
--------------------------------------------------------------------
再补充,跟据个人写程序多年的经验,以及黑学方面的经验,不要相信所谓SESSION安全,cookeis不安全的谬论,只有懂不懂及是否有安全意识的程序员,没有安全不安全的语法。程序是人写的,session写不好一样不安全,cookeis写好了一样无懈可击,说cookies不安全,只能说明他不会用罢了。每种方法各有各的用处,各有各的好处及缺点。
关于cookies的安全问题一句就是:用户可以任意修改存在他自己电脑上的cookies信息。
比如您的网站有两个用户,一个是“admin“,一个是“普通用户”,如果您的程序里识别了admin为管理员,那么,“普通用户”可以先正常登录,然后再通过一些软件修改存在自己电脑上的cookies信息,将“普通用户”改为“admin”那么,你就网站就会认为,他是admin管理员,如果你的网站没有再做进一步防范,那么他就可以成功的使用admin权限了。
这就是关于cookies对“你网站”的安全问题了,原理说清了,解决起来就简单了,仁者见仁,智者见智,方法不尽相同,能防范就行了。
cookies还可以造成一些其它安全问题,如果你的网站一些表单信息过滤不全,黑客可以在表单里写入一些js代码来获取其它用的cookies信息,对其它用户的安全带来威胁,不过这些不会对你的网站安全有损坏,所以不必着急,重要的是第一个。
------------------------------------------------------------
补充回答:
如果你的网站登录时没有设置cookies存活期,就不会有安全问题,即用户在登录的时候只能登录,不能选择保存,当然你的程序里也确定不能有保存存活期,这样就不会有问题了,因为没有存活期的cookies,在关闭浏览器时,cookies就不存在了。(黑客修改cookies的内容后比需重启浏览器才能生效,所以两者有必然的冲突,所以是安全的)
cookies是在用户登录的同时生成的,没有存活期的cookies好像不能修改,我没改成功过。
--------------------------------------------------------------------
再补充,跟据个人写程序多年的经验,以及黑学方面的经验,不要相信所谓SESSION安全,cookeis不安全的谬论,只有懂不懂及是否有安全意识的程序员,没有安全不安全的语法。程序是人写的,session写不好一样不安全,cookeis写好了一样无懈可击,说cookies不安全,只能说明他不会用罢了。每种方法各有各的用处,各有各的好处及缺点。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.只要你用的cookies就存在 cookies欺骗问题
2。cookies在服务器运行时输出结果于服务端的时候产生,也就是浏览器运行中产生
3。别人登陆了可以修改cookies 但是这样就达不到验证的效果了
4.想要解决这个欺骗问题 只有采用session验证
最后个人设想,如果非要用cookies 就在 cookies里面加上一个(密码和IP地址)共同混合加密的变量存于COOKIES 这样别人复制了COOKIES也没用 验证COOKIES 就得先验证这个加密数据 即使他复制去也没用
2。cookies在服务器运行时输出结果于服务端的时候产生,也就是浏览器运行中产生
3。别人登陆了可以修改cookies 但是这样就达不到验证的效果了
4.想要解决这个欺骗问题 只有采用session验证
最后个人设想,如果非要用cookies 就在 cookies里面加上一个(密码和IP地址)共同混合加密的变量存于COOKIES 这样别人复制了COOKIES也没用 验证COOKIES 就得先验证这个加密数据 即使他复制去也没用
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
有什么安全问题: 他可以让普通用户变成管理员
杜绝是有可能的: 你可以写入超级加密算法成成要保存的COOKIE 然后在保存。当然。这个算法要在服务器端!不能在IE中来计算。
比如。用户名登陆 你想保存是那一位登陆。他想在“本机”3月内自动登陆
你可以做入下操作
开始时间
结束时间
当然系统版本
IE版本
IP地址
用户名
进行加密
密码
进行加密
然后把前面两次加密进行 组合后在加密!
这儿有IP 不能判断绝对的IP相等。要判断区域性!比如以前是南充的。只要是南充的IP那IP验证就通过。因为现在有很多用户是动态IP的。
之后传入IE让它写入 当然了。如果有心人一定要破的话。不是没有可能。只是可以防止95%以上的人了!对有心人。很难。。。
杜绝是有可能的: 你可以写入超级加密算法成成要保存的COOKIE 然后在保存。当然。这个算法要在服务器端!不能在IE中来计算。
比如。用户名登陆 你想保存是那一位登陆。他想在“本机”3月内自动登陆
你可以做入下操作
开始时间
结束时间
当然系统版本
IE版本
IP地址
用户名
进行加密
密码
进行加密
然后把前面两次加密进行 组合后在加密!
这儿有IP 不能判断绝对的IP相等。要判断区域性!比如以前是南充的。只要是南充的IP那IP验证就通过。因为现在有很多用户是动态IP的。
之后传入IE让它写入 当然了。如果有心人一定要破的话。不是没有可能。只是可以防止95%以上的人了!对有心人。很难。。。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
所谓的COOKIES 就是你在登陆某些需要用户名的网站上所留下的一些登陆痕迹!
这样你下次登陆了,在你登陆的时候对话框你就会出现你上次的登录信息。如:用户名和别的什么帐户!
几乎在大型网站上是不会出现这样的不安全因素的.
但是就怕你遇见了钓鱼网站,通过你的登陆信息,钓鱼网站可以查询到你的许多资料!!
所以为了避免cookies所带来的不稳定因素!
你可以在每次关闭电脑的时候清空你浏览器里的所有资料!
或则配置一个防钓鱼网站的插件!!这样就可以规避绝大多数的不稳定因素了!
回答完毕!
这样你下次登陆了,在你登陆的时候对话框你就会出现你上次的登录信息。如:用户名和别的什么帐户!
几乎在大型网站上是不会出现这样的不安全因素的.
但是就怕你遇见了钓鱼网站,通过你的登陆信息,钓鱼网站可以查询到你的许多资料!!
所以为了避免cookies所带来的不稳定因素!
你可以在每次关闭电脑的时候清空你浏览器里的所有资料!
或则配置一个防钓鱼网站的插件!!这样就可以规避绝大多数的不稳定因素了!
回答完毕!
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
正常只有永久COOKIE才会有欺骗一说,也就是你的COOKIE要在你关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断.
别人没有登陆过网站而伪装和你同样保存在硬盘的COOKIE打开这个网站的时候就不用密码等验证.....
建议你使用SESSION进行保存重要的信息,比如后台,如果非要关闭浏览器还保存的话.就只有对本地保存的COOKIE进行加密.
PS:加密还可以解密的,没有任何东西是完美的,如果那么容易欺骗,就没有存在的价值,真是要整你,就算不用COOKIE也是一样的....
别人没有登陆过网站而伪装和你同样保存在硬盘的COOKIE打开这个网站的时候就不用密码等验证.....
建议你使用SESSION进行保存重要的信息,比如后台,如果非要关闭浏览器还保存的话.就只有对本地保存的COOKIE进行加密.
PS:加密还可以解密的,没有任何东西是完美的,如果那么容易欺骗,就没有存在的价值,真是要整你,就算不用COOKIE也是一样的....
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你好.ASKER. cookie可以让们摆脱session对性能影响,但是也存在很多不便。 1、对于同一浏览器,Cookie 总大小限制在 4096 字节以内,一个网站不超过20个,相同域名下限制为300个,很容易丢失cookie资料。所以尽量减少cookie数量和利用子键。 2、由于cookie容易被伪造,所以保证cookie真实性是个比较重要问题。(1)、不加密cookie,将需要保护cookie连接作为key来生成一个cookie sessionID,接受时候判断cookie sessionID (2)、由于cookie是明文发送和接受,所以对于重要数据显然用 sessionID不能满足要求,需要对cookie本身进行加密和解密 --------------------------------------------------------- 在使用 Cookie 时,您必须意识到其固有安全弱点。所指安全性并不是隐私问题,正如在前面什么是 Cookie?中所述,隐私在更大程度上是某些用户面对问题:这些用户很关心 Cookie 中信息是被使用。而 Cookie 安全性问题与从客户机获取数据安全性问题类似。对于初学者,就应用程序而言,Cookie 是用户输入另一种形式,因而很容易被他人非法获取和利用。由于 Cookie 保存在用户自己计算机上,所以用户至少可以看到您保存在 Cookie 中信息。如果用户愿意,还能在浏览器向您发送 Cookie 之前修改该 Cookie。 所以,您千万不要在 Cookie 中保存保密信息 - 用户名、密码、信用卡号等等。在 Cookie 中不要保存不应该由用户掌握内容,也不要保存可能被其他窃取 Cookie 人控制内容。 同样,要对从 Cookie 中得到任何信息都持怀疑态度。不要认为得到数据就是您当初设想信息。处理 Cookie 值时采用安全措施应该与处理 Web 页面中用户键入数据时采用安全措施相同。例如,在页面中显示值之前,会对 Cookie 中内容进行 HTML 编码。这是一种标准方法,可以在显示之前净化从用户处得到信息,对 Cookie 处理与此相同。 另一个需要关心问题是,Cookie 是以纯文本形式在浏览器和服务器之间传送,任何可以截取 Web 通信人都可以读取 Cookie。您可以对 Cookie 属性进行设置,使其只能在使用安全套接字层(SSL,又称 https://)连接上传输。SSL 并不能防止保存在用户计算机上 Cookie 被他人读取或操作,但它能防止 Cookie 在传输途中被他人截取。本文不讨论 SSL,但您必须清楚,您可以对 Cookie 进行传输保护。 SSL 详细信息,请参阅 Secure Sockets Layer: Protect Your E-Commerce Web Site with SSL and Digital Certificates(英文)。 面对这些安全问题,才能安全地使用 Cookie?您可以在 Cookie 中保存一些不重要数据,如用户首选项或其他对应用程序没有重大影响信息。如果确实需要把某些敏感信息(如用户 ID)保存在 Cookie 中,就对这些信息进行加密。一种可行方法是利用 ASP.NET Forms Authentication 实用程序创建一个身份验证票据,作为 Cookie 保存。本文不讨论加密问题,但是,如果您需要在 Cookie 中保存敏感信息,就应该试着采取措施来隐藏信息,防止被他人盗用。 在 Mitigating Cross-site Scripting With HTTP-only Cookies(英文)一文中,您可以解到更多 Cookie 及其安全弱点信息。
其实只要网站做安全做好咯...基本上是不能产生什么影响的.
其实只要网站做安全做好咯...基本上是不能产生什么影响的.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(6)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
