Quando sono uscito da un sito senza uscire, la prossima volta che navigo in quel sito ho trovato che sono loggato lì? In che modo il server ripristina il valore della sessione per il mio browser? C'è qualche possibilità di essere hackerato in questo processo? Il valore della sessione ripristinato può essere rubato da altri? per favore condividi il tuo concetto su questo. grazie in anticipoÈ possibile che il valore della sessione venga violato?
risposta
In tutte le tecnologie sono a conoscenza dei valori di sessione basati sul Web memorizzati nel server remoto. Quindi, per hackerare i valori della sessione sarebbe necessario hackerare il server remoto. Quello che stai incontrando è il fatto che l'identificatore di sessione è memorizzato in un cookie (a session cookie), in modo che quando si riapre il browser il cookie venga utilizzato per identificarti e fornire l'accesso alla sessione remota. Normalmente i cookie di sessione hanno un TTL breve (tempo di vita) prima che scadano e si disconnettano, ma in caso contrario, la disconnessione esplicita dovrebbe cancellarla. Se sei veramente preoccupato, puoi cancellare i tuoi cookie.
Quello che stai vedendo è il risultato di un cookie memorizzato con il tuo browser per aggrapparti a quella sessione di informazioni. Può essere violato? Dipende dal sito/dall'applicazione, ma non più di quanto potrebbe essere se non avessi chiuso il browser.
Utilizza i cookie, una stringa di testo che il browser conserva per conto del sito, sia per un determinato limite di tempo, sia fino alla chiusura del browser.
Disconnettersi se si tratta di un problema. Ovviamente, se qualcun altro usa lo stesso computer poco dopo sarà in grado di utilizzare il sito collegato come te. Disconnettersi sempre esplicitamente dai computer accessibili al pubblico.
A seconda che il server verifichi l'indirizzo IP che tenta di utilizzare il token (probabilmente un cookie, ma non deve essere) rispetto a quello che ha effettuato l'accesso, potrebbe essere possibile per un ladro utilizzare quel cookie per accedere al tuo account.
Un sito ben progettato non solo causerà il timeout delle sessioni ma le limiterà a un singolo indirizzo IP (e al browser user-agent, ecc.).
Anche il controllo dell'IP non lo rende sicuro dal dirottamento. Se sia la vittima che il dirottatore si trovano dietro lo stesso router, il server Web li vedrà come provenienti dalla stessa macchina (poiché il loro IP pubblico sarebbe lo stesso). Anche gli ID del browser non sono sicuri ... possono essere facilmente falsificati. –
Definitivamente. Proteggere dagli attacchi di replay in tempo reale è difficile. Si consiglia di verificare l'indirizzo IP, ecc., Ma non si dovrebbe fare affidamento su questi perché non sono sicuri. –
Come altri hanno notato questo è il cookie sulla vostra macchina.
Il modo per "hackerare" sarebbe ottenere l'accesso alla macchina e quindi prendere una copia del cookie. O prendere una copia del cookie mentre viene inviato al browser.
Per difendersi da questo si potrebbe:
- Invia il cookie al client tramite HTTPS.
- Non conservare il cookie sul disco (un biscotto senza un timeout verrà memorizzato nella memoria)
Blocco di una sessione per un singolo indirizzo IP, può causare problemi, se gli utenti sono provenienti da una rete con 2 server proxy.
grazie a tutti voi ragazzi. Non ho ancora affrontato alcun problema. Mi stavo solo mantenendo aggiornato. –
si dovrebbe annusare il suo traffico e rubare i suoi biscotti. Quindi, se non si disconnette, (quindi il server non invalida i cookie), è possibile accedere con loro
- 1. È possibile che un metodo non venga visualizzato in intellisense?
- 2. È possibile impedire che uno specifico datamember venga deserializzato?
- 3. È possibile che il codice venga modificato senza che Git ne sia a conoscenza?
- 4. Perché il valore della colonna predefinito di SQLAlchemy non è disponibile prima che venga eseguito il commit dell'oggetto?
- 5. È possibile visualizzare l'output della sessione dello schermo?
- 6. È possibile rinominare un progetto in Visual Studio in modo che anche il nome della cartella venga rinominato?
- 7. Il sito è stato violato tramite SQL Injection
- 8. È possibile che l'errore "Errore durante il caricamento dello script" venga ignorato?
- 9. È possibile visualizzare il codice C++ con modelli istanziati prima che venga compilato (g ++)?
- 10. Come ottenere il valore della sessione utilizzando javascript
- 11. È normale che il metodo "activity.onCreate()" venga chiamato più volte
- 12. Qual è il timeout della sessione predefinito in ASP.NET?
- 13. Sono stato violato?
- 14. È possibile modificare l'IP durante la sessione?
- 15. È possibile personalizzare il timeout della sessione per i ruoli in ASP.NET MVC 5
- 16. Come ottenere il valore di timeout della sessione in un provider di sessione quando non è impostato nella configurazione?
- 17. È possibile stampare tutto il codice che ho digitato nella console nell'ultima sessione?
- 18. Determina automaticamente il timeout della sessione Java
- 19. Qual è il valore di timeout della sessione predefinito in ASP.NET?
- 20. Come evitare che l'algoritmo della passeggiata casuale venga bloccato?
- 21. Joomla ha violato. Come prevenire?
- 22. Errore ScriptResource: sono stato violato?
- 23. È possibile utilizzare CER per garantire che la finalizzazione non venga mai chiamata?
- 24. Come posso evitare che il valore venga aggiornato in Spinner dell'interfaccia utente di Jquery?
- 25. È possibile che una stored procedure venga chiamata in modo ricorsivo in SQL Server?
- 26. È possibile disabilitare un trigger Oracle per la sessione corrente?
- 27. È possibile impedire che la modifica di alcune sezioni di codice venga impedita?
- 28. È possibile "trasferire" una sessione tra selenium.webdriver e requests.session
- 29. Rileva se il pulsante del mouse è già stato premuto prima che venga visualizzato il modulo
- 30. SessionHandler :: write(): il gestore della sessione principale non è aperto
le sessioni ordinarie non vengono compromesse ... vengono dirottate (molto comune con i cookie di WordPress - che non ha nemmeno sessioni sul lato server). I cookie sono solo archiviazione di sessione lato client. –
Le variabili 'SESSION' sono considerate sicure. Se qualcuno accede e memorizzo nello scope della sessione il loro ID e il loro stato di login. Usare quell'ID per interrogare i dati e restituirli è sicuro? Lo immaginerei, ma non sono sicuro. Devo memorizzare il loro stato in un DB e usarlo solo come stato? Vorrei che la SESSIONE fosse abbastanza sicura. – Leeish