- 主题:session比cookie的优势在哪里,或者说两者有什么本质区别呢
所以说这个安全只是说无法在本地直接获取数据了,更不可能在本地磁盘上把一些重要内容留下了,但别人只要获取了sessionid,那么无法阻止别人获得一切的。
【 在 sly9 (= =b) 的大作中提到: 】
: 标 题: Re: session比cookie的优势在哪里,或者说两者有什么本质区别呢
: 发信站: 水木社区 (Wed Aug 5 17:41:38 2009), 站内
:
: session的数据都放在服务器端相对是要安全一点。。
:
: 不过如果cookies被别人完全截获了,那的确是很危险的,因为这样别人就可以冒用你的session了。。
:
: 所以说要想安全就不要用不加密的wifi、到处用https。。
: 【 在 webasker (学习web编程) 的大作中提到: 】
: : session的实现最后还是要依赖于cookie,因为session还是要通过cookie来传递sessionid,这里暂时不考虑url的enconding,为何说session比cookie安全呢,只要将cookie传送时设为不允许在本地保存,安全性应该就和session相同了吧
:
:
: --
: ╔══╗╔╗ ╔╗╔╗
: ║ ═╣║║ ║╚╝║
: ╠═ ║║╚═╗╠═ ║
: ╚══╝╚══╝╚══╝
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 61.135.255.83]
--
FROM 123.127.137.*
有些服务器不想让你获得的东西,即使你截获了sessid也获取不了的
比如当前用户的密码……
【 在 webasker (学习web编程) 的大作中提到: 】
: 所以说这个安全只是说无法在本地直接获取数据了,更不可能在本地磁盘上把一些重要内容留下了,但别人只要获取了sessionid,那么无法阻止别人获得一切的。
--
FROM 123.124.143.*
如果有sessionid了那就不需要密码了吧?
【 在 Kommit (小七 - 无房无车已婚正太) 的大作中提到: 】
: 有些服务器不想让你获得的东西,即使你截获了sessid也获取不了的
: 比如当前用户的密码……
--
FROM 124.160.47.*
能截取sessionid,还不能截取cookie?
原文是“session比cookie更安全”,并没有说session本身有多安全啊。
ssl还有中间人欺骗呢,绝对安全只有物理上隔绝
【 在 webasker (学习web编程) 的大作中提到: 】
: 别人截取了你的sessionid,那么还有什么安全可言?
--
FROM 202.106.68.*
我只是说session比cookie相对安全
【 在 ygnm (一个农民) 的大作中提到: 】
: 标 题: Re: session比cookie的优势在哪里,或者说两者有什么本质区别呢
: 发信站: 水木社区 (Thu Aug 6 11:14:55 2009), 站内
:
: 如果有sessionid了那就不需要密码了吧?
: 【 在 Kommit (小七 - 无房无车已婚正太) 的大作中提到: 】
: : 有些服务器不想让你获得的东西,即使你截获了sessid也获取不了的
: : 比如当前用户的密码……
:
:
: --
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 124.160.47.*]
--
FROM 123.124.143.*
那也只拥有一次登录的“状态权限”
一旦点击退出,或者妄图修改密码,都会失败的
改密码的时候通常需要明确给出老密码
【 在 ygnm (一个农民) 的大作中提到: 】
: 标 题: Re: session比cookie的优势在哪里,或者说两者有什么本质区别呢
: 发信站: 水木社区 (Thu Aug 6 11:14:55 2009), 站内
:
: 如果有sessionid了那就不需要密码了吧?
: 【 在 Kommit (小七 - 无房无车已婚正太) 的大作中提到: 】
: : 有些服务器不想让你获得的东西,即使你截获了sessid也获取不了的
: : 比如当前用户的密码……
:
:
: --
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 124.160.47.*]
--
FROM 61.49.112.*
扯淡,服务器完全可以 sessionid 绑定 ip,session 劫持的门槛可没那么低
【 在 webasker (学习web编程) 的大作中提到: 】
: 所以说这个安全只是说无法在本地直接获取数据了,更不可能在本地磁盘上把一些重要内容留下了,但别人只要获取了sessionid,那么无法阻止别人获得一切的。
--
FROM 131.107.0.*
结果发现攻击者和被攻击者在同一个内网里头,且这个内网对外只有一个ip。。
【 在 nullgate (空门·恨只恨我们家鬼害家神) 的大作中提到: 】
: 扯淡,服务器完全可以 sessionid 绑定 ip,session 劫持的门槛可没那么低
--
FROM 61.135.255.83
被内鬼搞那就没办法了,就跟那个 ssl hacker 在 tor 的代理出口偷信息,只要你相信 tor ,你就得忍受这种风险。
btw: session 里面的内容是客户端不可能直接访问的,嘿嘿
【 在 sly9 (= =b) 的大作中提到: 】
: 结果发现攻击者和被攻击者在同一个内网里头,且这个内网对外只有一个ip。。
--
修改:nullgate FROM 131.107.0.*
FROM 131.107.0.*
n多人没有点退出/注销的习惯,直接关掉窗口了事;
于是你这边一直发请求保持当前session活着;
不知道关掉的时候用js去发个注销的请求能不能发出去,进程是等这个js执行完呢,
还是可能已经直接退出了,请求可能没发成功
【 在 JulyClyde (torred) 的大作中提到: 】
: 那也只拥有一次登录的“状态权限”
: 一旦点击退出,或者妄图修改密码,都会失败的
: 改密码的时候通常需要明确给出老密码
: ...................
--
FROM 124.160.47.*