WEB开发网
开发学院WEB开发ASP.NET 关于通过Cookie进行网站自动登录的安全问题 阅读

关于通过Cookie进行网站自动登录的安全问题

 2009-03-26 17:42:23 来源:WEB开发网   
核心提示:自动登录,系统将保存一个标志到用户的Cookie,比如保存1个月等 用户再次访问时,关于通过Cookie进行网站自动登录的安全问题,需要判断这个标志, 但如果这个标志被人窃取, 用户可以定期的修改一下密码,这样那些窃取的Cookie就失效了,那么这个人将可以仿冒此人, 窃取我们是不能避免的

自动登录,系统将保存一个标志到用户的Cookie,比如保存1个月等
用户再次访问时,需要判断这个标志。
但如果这个标志被人窃取,那么这个人将可以仿冒此人。

窃取我们是不能避免的。但我们可以最大限度的减少损害,特别是在知道被盗时。

我考虑的一个简单做法
1 自动登录的标志,要和当前的密码和最后修改日期挂钩。 也就是生成算法里面要包含密码和修改日期,当然生成的标志里不会出现密码明文了。

2 登录时,根据当前密码等再次计算标志,如果不等,则证明用户已经修改了密码,不能再次登录

3 用户修改密码时,保存最后修改日期。

以上的步骤,唯一需要修改的就是标志的生成算法。但却可以最大限度的保护用户的信息。

用户可以定期的修改一下密码,这样那些窃取的Cookie就失效了,因为最后修改日期不同了。

Tags:关于 通过 Cookie

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接