V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 4185 days ago, the information mentioned may be changed or developed.
登陆成功之后存入$_SESSION['openid']
注销的时候销毁这个值。
openid代表着唯一的用户标识符,在系统中起着关键作用。
openid是明文传输和保存的。
很容易就能伪造session吗?这样做安全吗?
如果不安全求改进方式?谢谢
注销的时候销毁这个值。
openid代表着唯一的用户标识符,在系统中起着关键作用。
openid是明文传输和保存的。
很容易就能伪造session吗?这样做安全吗?
如果不安全求改进方式?谢谢
 | 1 TangMonk Nov 16, 2014 没有绝对的安全,session 要有安全周期,salt要经常换,要防止xss,用户要经常改密码,最好再来个手机验证 |
| 3 TangMonk Nov 16, 2014 大部分都是这样的 |
 | 4 woshicixide Nov 16, 2014 session安不安全本身这个问题有问题,就好象在问网站安全吗一个道理,你应该问的是怎么样操作session更安全 |
 | 5 msg7086 Nov 16, 2014 via iPhone 你家的锁安全吗?所以… |
 | 6 taogogo Nov 16, 2014 [防泄漏] :session id随机生成且长度足够;httponly;传输层https。 [泄露止损] :控制session有效期;绑定ip或设备信息;session id批量失效; [这类都属于安全和风控范畴] |
 | 7 marshal Nov 16, 2014 我的看法,session本身并不是解决安全这个系统需求的吧。 因为HTTP是无状态的协议,也就是每次请求重新建立TCP连接。 因此需要一种机制让服务器端能够知道这个请求上次来过。 这就是session机制的作用。即当一个客户端第一次请求时,服务器发送个session id给客户端,以后每次请求客户端都携带这个id。 如果需要解决安全这个需求,一般要使用HTTPS,让整个通信线路SSL加密,才可以解决基本安全问题。 |
 | 8 cover Nov 16, 2014 via Android 这样安全么 这个问题是伪命题 在密码学里面 安全的定义就是 破解的成本大于你保护的东西的成本的时候就可以认为是安全 和doss攻击一样 人家带宽远大于你的带宽的时候你就没办法了。。 所以人家用超级计算机来攻击你的32核服务器 分分钟让你的系统不安全 还是先确定应用场景吧 |
 | 9 jc4myself Nov 17, 2014 看着没什么问题,就看你怎么用的,具体是怎么操作的/httponly https id不要重复 这些需要考虑下 |
Select Language