Когда я вышел из сайта без выхода из системы, в следующий раз, когда я просмотрю этот сайт, я нашел, что я зарегистрирован там? Как этот сервер восстанавливает значение сеанса для моего браузера? Есть ли шанс быть взломанным в этом процессе? Может ли это восстановить значение сеанса другими? пожалуйста, поделитесь своей концепцией об этом. Заранее спасибоМожно ли взломать значение сеанса?
Во всех технологиях, о которых я знаю, веб-значения сеанса хранятся на удаленном сервере. Таким образом, для взлома ваших значений сеанса потребуется взломать удаленный сервер. Вы сталкиваетесь с тем, что ваш идентификатор сеанса хранится в файле cookie (session cookie), поэтому при повторном открытии браузера cookie используется для идентификации вас и предоставления доступа к удаленному сеансу. Обычно файлы cookie сеанса имеют короткий TTL (время для жизни) до истечения срока их действия и выходят из системы, но если нет, то явное выключение должно очистить его. Если вы действительно беспокоитесь, вы можете удалить свои файлы cookie.
Что вы видите, это результат того, что файл cookie хранится в вашем браузере, чтобы вставить эту информацию в сеанс. Можно ли его взломать? Зависит от сайта/приложения, но не больше, чем может быть, если вы не закрыли свой браузер.
Он использует куки-файлы, текстовую строку, которую ваш браузер хранит от имени сайта, либо для установленного лимита времени, либо до закрытия браузера.
Выйдите из системы, если это проблема. Очевидно, что если кто-то другой использует тот же компьютер вскоре после вас, они смогут использовать сайт, зарегистрированный как вы. Всегда явно выходить из общедоступных компьютеров.
В зависимости от того, проверяет ли сервер IP-адрес, пытающийся использовать токен (возможно, файл cookie, но не обязательно), тот, который вошел в систему, может быть возможным для вора использовать этот файл cookie для получите доступ к своей учетной записи.
Хорошо спроектированный сайт не только вызовет тайм-аут сеанса, но и ограничит его единственным IP-адресом (и пользовательским агентом браузера и т. Д.).
Даже проверка IP не делает его безопасным от угона. Если и жертва, и угонщик находятся за одним и тем же маршрутизатором, веб-сервер увидит их как идущие с одного и того же компьютера (так как их публичный IP-адрес будет таким же). Идентификаторы браузера не являются безопасными ... их можно легко подделать. –
Определенно. Защита от повторных попыток в реальном времени сложна. Рекомендуется проверять IP-адрес и т. Д., Но не следует полагаться на них, поскольку они не защищены. –
Как уже отмечалось, это файл cookie на вашей машине.
Способ «взломать» было бы получить доступ к вашей машине, а затем взять копию файла cookie. Или возьмите копию файла cookie, когда он отправляется в браузер.
Чтобы защититься от этого вы можете:
Блокирование сеанса на один адрес IP, может вызвать проблемы, если пользователи приходят из сети с 2 прокси-серверов.
спасибо всем, ребята. Я еще не сталкивался с какой-либо проблемой. Просто я постоянно обновлялся. –
вам придется понюхать его движение и украсть его куки. Затем, если он не выйдет из системы (так что сервер не заблокирует файлы cookie), вы можете войти в систему с ними
обычные сеансы не взломаны ... они захвачены (очень распространены с кукишками WordPress - который даже не имеет сеансов на стороне сервера). Куки-файлы - это только хранилище сеансов на стороне клиента. –
Переменные 'SESSION' считаются безопасными. Если кто-то входит в систему, и я храню в области сеанса свой идентификатор и их состояние входа в систему. Использование этого идентификатора для запроса данных и возврата данных к ним безопасно? Я бы так подумал, но не уверен. Должен ли я хранить их состояние в БД и использовать это только как статус? Я бы сказал, что СЕССИЯ достаточно безопасна. – Leeish