udi*_*dit 0 cookies session ruby-on-rails session-cookies
我需要澄清基于cookie的会话是如何工作的.我正在构建一个应用程序,我在其中对用户进行身份验证,并且在成功进行身份验证后,我会将一个GUID标记为他的用户进入会话,然后将其作为cookie保留.现在,当用户登录时,什么防止嗅探流量,窃取用户的cookie的内容,并在自己的终端创建cookie,并登录到我的网站作为人的人?另一种情况可能是,如果我可以物理访问该人登录的计算机,我还可以窃取cookie的内容并以用户身份进行模拟.
是什么阻止有人嗅探流量,窃取用户cookie的内容并在自己的端创建cookie并以该人身份登录我的网站?
SSL - 阻止它的唯一方法是在HTTPS上运行您的网站.
我有物理访问该人登录的机器
一旦您对机器进行物理访问,所有安全方法都没有实际意义.你无能为力.
| 归档时间: |
|
| 查看次数: |
579 次 |
| 最近记录: |