Quando sono uscito da un sito senza uscire, la prossima volta che navigo in quel sito ho trovato che sono loggato lì? In che modo il server ripristina il valore della sessione per il mio browser? C'è qualche possibilità di essere hackerato in questo processo? Il valore della sessione ripristinato può essere rubato da altri? per favore condividi il tuo concetto su questo. grazie in anticipoÈ possibile che il valore della sessione venga violato?
In tutte le tecnologie sono a conoscenza dei valori di sessione basati sul Web memorizzati nel server remoto. Quindi, per hackerare i valori della sessione sarebbe necessario hackerare il server remoto. Quello che stai incontrando è il fatto che l'identificatore di sessione è memorizzato in un cookie (a session cookie), in modo che quando si riapre il browser il cookie venga utilizzato per identificarti e fornire l'accesso alla sessione remota. Normalmente i cookie di sessione hanno un TTL breve (tempo di vita) prima che scadano e si disconnettano, ma in caso contrario, la disconnessione esplicita dovrebbe cancellarla. Se sei veramente preoccupato, puoi cancellare i tuoi cookie.
Quello che stai vedendo è il risultato di un cookie memorizzato con il tuo browser per aggrapparti a quella sessione di informazioni. Può essere violato? Dipende dal sito/dall'applicazione, ma non più di quanto potrebbe essere se non avessi chiuso il browser.
Utilizza i cookie, una stringa di testo che il browser conserva per conto del sito, sia per un determinato limite di tempo, sia fino alla chiusura del browser.
Disconnettersi se si tratta di un problema. Ovviamente, se qualcun altro usa lo stesso computer poco dopo sarà in grado di utilizzare il sito collegato come te. Disconnettersi sempre esplicitamente dai computer accessibili al pubblico.
A seconda che il server verifichi l'indirizzo IP che tenta di utilizzare il token (probabilmente un cookie, ma non deve essere) rispetto a quello che ha effettuato l'accesso, potrebbe essere possibile per un ladro utilizzare quel cookie per accedere al tuo account.
Un sito ben progettato non solo causerà il timeout delle sessioni ma le limiterà a un singolo indirizzo IP (e al browser user-agent, ecc.).
Anche il controllo dell'IP non lo rende sicuro dal dirottamento. Se sia la vittima che il dirottatore si trovano dietro lo stesso router, il server Web li vedrà come provenienti dalla stessa macchina (poiché il loro IP pubblico sarebbe lo stesso). Anche gli ID del browser non sono sicuri ... possono essere facilmente falsificati. –
Definitivamente. Proteggere dagli attacchi di replay in tempo reale è difficile. Si consiglia di verificare l'indirizzo IP, ecc., Ma non si dovrebbe fare affidamento su questi perché non sono sicuri. –
Come altri hanno notato questo è il cookie sulla vostra macchina.
Il modo per "hackerare" sarebbe ottenere l'accesso alla macchina e quindi prendere una copia del cookie. O prendere una copia del cookie mentre viene inviato al browser.
Per difendersi da questo si potrebbe:
Blocco di una sessione per un singolo indirizzo IP, può causare problemi, se gli utenti sono provenienti da una rete con 2 server proxy.
grazie a tutti voi ragazzi. Non ho ancora affrontato alcun problema. Mi stavo solo mantenendo aggiornato. –
si dovrebbe annusare il suo traffico e rubare i suoi biscotti. Quindi, se non si disconnette, (quindi il server non invalida i cookie), è possibile accedere con loro
le sessioni ordinarie non vengono compromesse ... vengono dirottate (molto comune con i cookie di WordPress - che non ha nemmeno sessioni sul lato server). I cookie sono solo archiviazione di sessione lato client. –
Le variabili 'SESSION' sono considerate sicure. Se qualcuno accede e memorizzo nello scope della sessione il loro ID e il loro stato di login. Usare quell'ID per interrogare i dati e restituirli è sicuro? Lo immaginerei, ma non sono sicuro. Devo memorizzare il loro stato in un DB e usarlo solo come stato? Vorrei che la SESSIONE fosse abbastanza sicura. – Leeish