《验证码》存在客户端安全么?
我今天在分析《天乙社区8.x》时,
发现登陆注册页面时,系统会写入一个Cookie
而这个Cookie的内容就是:注册时要填写的“验证码”
但是这个注册码是通过 DES 算法加密过的。
加密的密钥存在系统的数据库中。
请问这样的做法是否稳妥?
《验证码》存在客户端安全么?
我今天在分析《天乙社区8.x》时,
发现登陆注册页面时,系统会写入一个Cookie
而这个Cookie的内容就是:注册时要填写的“验证码”
但是这个注册码是通过 DES 算法加密过的。
加密的密钥存在系统的数据库中。
请问这样的做法是否稳妥?
你这个问题实际是session和cookie之间的关联与差别。
session与cookie之间有着一些联系,但又在某些时候可以没有联系。
一般的验证码肯定都需要在server端的session中保存一个副本,才能与用户输入的值进行匹配判断。但有的server会把session和session中的一些数据传递给浏览器的cookie,就产生你的问题。
肯定是存在不安全的因素,但目前环境下,DES加密后还是能当作安全的使用。