willwen 2013-11-02 12:22
浏览 562
已采纳

关于cookie欺骗的问题

最近在参与系统架构方面设计的时候,
大家总是会讨论到这样的一个问题:
暴露到公网的一个服务,如果cookie信息被截取到了,
那别人就可以用你的身份信息登录到该系统。
这里指的是直接获取到你的cookie信息,不需要做任何的修改直接去访问服务器资源,例如:登录。
这样类似于,我在自个电脑登录网银,传输过程中cookie信息被人截取,盗取后其在自己电脑上做登录我的账号信息。
问题是:
1、这种传输过程中被截取的可能性有多大?用的是https协议
2、如何防止这种情况

说下鄙人自己的理解,本身https就是业界的规范。可以确保传输的信息的安全性,另外,即使cookie信息被获取到,由于服务器是基于sessionId识别客户的,所以黑客攻击也是要基于客户本身也是登陆的情况,如果客户退出了。即使再那截取到的cookie,传到服务器段也是不认,同样是需要再重新登陆的。

希望有高手能帮忙指点下!

  • 写回答

1条回答 默认 最新

  • ll89308839 2013-11-02 22:43
    关注

    1.https 做了加密,这个还是比较安全的
    2.cookie的登录信息,可对用户登录ip进行校验。登录ip发生变化,可做出锁定帐号之类的控制

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

    报告相同问题?

    悬赏问题

    • ¥50 求!AutomationDesk 如何自动导入Variant数据
    • ¥20 Next.JS 静态导出路由
    • ¥15 我做一个对中文文本情感分析的项目 我用了CNN,和keras框架 报的错误我一直处理不好
    • ¥15 unity使用bakery打光烘焙所遇到的问题。
    • ¥99 二维有限元方法求解,泊松方程
    • ¥15 我需要在PC端 开两个抖店工作台客户端.(语言-java)
    • ¥15 有没有哪位厉害的人可以用C#可视化呀
    • ¥15 可以帮我看看代码哪里错了吗
    • ¥15 设计一个成绩管理系统
    • ¥15 PCL注册的选点等函数如何取消注册