Roi*_*ici 4 javascript php asp.net jsp
我看了http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html
登录网站,复制基本cookie值,然后将其粘贴到另一台计算机上运行的另一个浏览器中.这就是全部.这真是令人大开眼界.
我的问题是,如果我们使用php/aspnet会话,这种方法是否也有效.
如果确实有效,我们可以采用哪些技术(如Web开发人员)来阻止此技巧的发挥.基本上我不希望用户只能通过粘贴cookie来登录他的帐户,密码是必须的.
如果无法实现上述目标,是否意味着即使是像Gmail这样的Google产品,我也可以通过某种方式登录我的帐户而无需我的密码?
会话是会话 - 通过在cookie中存储ID令牌来完成.你不能阻止在浏览器之间手动复制cookie.
您可以尝试在登录时记录原始用户代理字符串,并每次比较(如果他们使用Firefox登录,并突然使用Opera,hmmMmMmmmmmm).对于IP地址也是如此......但IP地址对于移动用户和人们恐惧多宿主代理服务器系统是有问题的,例如大多数AOL等.他们的IP可能会针对每个请求进行更改.
没有万无一失的方法可以防止无法绕过的cookie共享(更改浏览器的UA以使其声称是单一类型/版本),或产生误报(由于代理而导致的IP更改).