自动登录cookie密码加密实际作用?:报错 -问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

自动登录cookie密码加密实际作用?:报错

kun坤 2020-06-08 11:07:47 85

感觉好处只有不会让人知道实际的密码,但是防止不了被盗号。伪造cookie还是能直接登录的。

数据安全/隐私保护
分享到
取消 提交回答
全部回答(1)
  • kun坤
    2020-06-08 14:41:03

    如果有一个加密key的话,你不知道这个加密key和加密方法,你是无法伪造的,而且加密密码这种用法我只在奇葩的dz里看到过,不知道还有其他程序也是这样加密的么######回复 @Burning_BL : 验证user_agent,ip所在地之类的######回复 @我不叫大脸猫 : 恩,看到说任何私密数据不论加不加密都不该存cookie.但是这样的话如何实现自动登录呢?服务器端再怎么样验证也是基于cookie里的值吧,伪造了不是一样能通过?######回复 @Burning_BL : 所以如果网站是只验证cookie的有效性判断用户的登录状态那就杯具了,如果还有别的机制判断用户登录状态那就不用担心######回复 @我不叫大脸猫 : 我觉得看到cookie里的密码和直接获取cookie不是一样的吗?比如恶意程序直接读取xx网站的自动登录cookie发送到黑客那里,黑客只要把cookie内容复制到自己的cookie里,不是能登录吗?######回复 @Burning_BL : 前提是你能轻松获得别人的cookie,而且人人只验证了cookie的有效性######可以远程获取其他用户的cookie的 ######可能会被用来xss攻击,但是如果你把cookies的关键信息用你的算法加密了,神也没办法啊。######回复 @九月 : 就是,只是不能正常的登陆,但是能伪造自动登陆的。######加密没用的 一样的登录######

    我的个人建议是不要设计“自动登录”等等

    除非你能hold住所有的XSS/CSRF

    Cookies里面只有Session就够了

    ######感觉只要用cookie来实现,就cookie本身再怎么设置都不能防止被盗用的,只能像1L说的user-agent和IP段什么的。但是这也不是cookie加密的原因啊,只是防止被盗用吧。######自动登录貌似是个网站都有吧,淘宝也有吧。有session是什么意思呢?自动登陆时session是不存在的吧。不考虑cookie代替session的情况,一般都是先检查session是否存在,存在立刻进入主页,否则检查自动登陆cookie,如果有效就自动登陆吧。######

    如果真要做

    我的建议是 如果是自动登录就降权

    例如:修改用户信息 密码 就必须重新登陆

    ######

    引用来自“九月”的答案

    如果真要做

    我的建议是 如果是自动登录就降权

    例如:修改用户信息 密码 就必须重新登陆

    good idea
    ######

    引用来自“汉唐”的答案

    引用来自“九月”的答案

    如果真要做

    我的建议是 如果是自动登录就降权

    例如:修改用户信息 密码 就必须重新登陆

    good idea
    做敏感操作的时候,重新验证用户。
    ######

    cookie中还可以加入登录的IP,如果是同一个IP直接自动登录,如果IP跟上次登录的不一样,那么就不允许自动登录。

    ######

    引用来自“汉唐”的答案

    引用来自“汉唐”的答案

    引用来自“九月”的答案

    如果真要做

    我的建议是 如果是自动登录就降权

    例如:修改用户信息 密码 就必须重新登陆

    good idea
    做敏感操作的时候,重新验证用户。
    that's a good idea
    ######

    引用来自“heartdong”的答案

    引用来自“汉唐”的答案

    引用来自“汉唐”的答案

    引用来自“九月”的答案

    如果真要做

    我的建议是 如果是自动登录就降权

    例如:修改用户信息 密码 就必须重新登陆

    good idea
    做敏感操作的时候,重新验证用户。
    that's a good idea
    重新登录倒没必要,重要操作输入原始密码就可以了。
    0 0
+ 订阅

云安全开发者的大本营

推荐文章
相似问题