- 论坛徽章:
- 0
|
cgi session
[quote]原帖由 "iwanthome"]1、他们都是使用md5来生成一个session id,并使用cookie发送给客户端,问题是这个session id应该可以很容易的拿到,如果有人假冒,服务器段没有什么好的办法去判断[/quote 发表:
所以如果你对安全要求很高,就要用 SSL 来加密 server 和 用户端的数据传输。
否则其他人可以监听你的network ,来获得session id. 但如果你的 network 被监听,所有明文传输的密码都是可以获得。 session id 反而不是你首要考虑的了。话又说回来,如果你对安全要求很高,就要用 SSL 来加密 server 和 用户端的数据传输。
另外 md5 生成的 string 都是足够长(比如使用Digest::MD5 里的 md5_base64 生成 BS1+1ySMDuN+fqp7hnMRYw),几乎可以考虑不会有重复,如果去猜测一个 session id ,等猜到后,用户的 session 早已过期了。
安全的 session 该是综合 session id 的独特性,时效性两点,另外再加上 SSL. 普通的网站象论坛对安全性要求不高,所以没有 SSL 也无所谓。而象做网上交易的网站如 银行就一定要使用 SSL . 所以你就看到很多 https://
[quote]原帖由 "iwanthome"]在cgi::session里提供了一个-ip-match开关,但是在互联网上很多人都是通过防火墙来上网的,这也意味着多个客户端可能有同一个ip地址[/quote 发表:
要知道使用 user agent , ip 等客户端的信息只是用来 _帮助_ 验证 session id, 正如你提到的这一点, 很多人通过防火墙来上网让使用 ip帮助验证 session id失去意义。 有利有弊。 所以在你使用类似的功能前,搞清可能面临的问题。
[quote]原帖由 "iwanthome"]2、在客户端校验用户名和密码的时候,怎么才能让客户端发送的密码不出现在ie的地址栏里?有没有什么办法在客户端本地加密?在传送过程中我知道可以选择ssl [/quote 发表:
客户端发送的密码出现在ie的地址栏里? 你在做什么? |
|
免费注册
发表于 2004-01-19 09:33
