Question

Если я зарегистрируюсь на веб-сайте, и веб-сайт отправит мне cookie-файл с идентификатором, с помощью которого он сможет меня идентифицировать, может ли кто-нибудь выдать себя за меня, если получит этот cookie-файл? Если кто-то еще знает формат файла cookie и угадает, может ли ID выдать себя за меня таким образом?
Также ценится любой материал, где обсуждаются эти вещи.

Jonathan M · Answer 1 · 23 сентября 2011

Ответом на оба вопроса является квалифицированное «да». Но оба подражания могут быть сделаны очень трудными. Вещи, которые затрудняют кражу идентификатора сессии из cookie:

Использование https. Все коммуникации между вами и сервером зашифрованы и очень трудно взломать.
Если сервер использует сеансы PHP, идентификатор в файле cookie является длинным и его трудно угадать.
Даже без этого перехватить cookie-файл сложно, поскольку злоумышленник должен заставить свой компьютер прослушивать передачи на / с вашего IP-адреса или IP-адреса сервера.

Лучшая защита - длинные идентификаторы (в виде сеансов PHP) в сочетании с использованием https.

Если вы разрабатываете, вот хорошая информация: http://thinkvitamin.com/code/how-to-create-totally-secure-cookies/

безопасность для куки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

безопасность для куки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов