首頁猿問防止會話劫持的最佳方法是什么？

防止會話劫持的最佳方法是什么？

安全

HUWWW 2019-07-19 16:03:31

防止會話劫持的最佳方法是什么？具體而言，這是在使用客戶端會話cookie標(biāo)識服務(wù)器上的會話時使用的。是否對整個網(wǎng)站使用SSL/HTTPS加密的最佳解決方案，并且您有最好的保證：在中間攻擊中的任何人都不能嗅到現(xiàn)有的客戶端會話cookie？也許第二個最好的方法是對存儲在會話cookie中的會話值本身使用某種加密？如果惡意用戶對機器具有物理訪問權(quán)限，他們?nèi)匀豢梢圆榭次募到y(tǒng)來檢索有效的會話cookie并使用它劫持會話？

查看完整描述

3 回答

慕標(biāo)5832272

TA貢獻(xiàn)1966條經(jīng)驗獲得超4個贊

加密會話值將產(chǎn)生零效果。會話cookie已經(jīng)是一個任意值，加密它只會生成另一個可以嗅探的任意值。

唯一真正的解決辦法是HTTPS。如果您不想在您的整個站點上執(zhí)行SSL(可能您有性能問題)，您可能只需要使用SSL來保護(hù)敏感區(qū)域。要做到這一點，首先要確保您的登錄頁面是HTTPS。當(dāng)用戶登錄時，除了常規(guī)會話cookie之外，還設(shè)置一個安全cookie(這意味著瀏覽器只能通過SSL鏈接傳輸它)。然后，當(dāng)用戶訪問您的“敏感”區(qū)域之一時，將其重定向到HTTPS，并檢查是否存在該安全cookie。一個真正的用戶將擁有它，會話劫機者不會。

反對回復(fù) 2019-07-19