cookie是否真的可以被复制

chunbin0220 发布于 2012/07/28 22:37
阅读 2K+
收藏 0

A机器上cookie拿到B机器上,同样的浏览器,如果服务器端不做IP验证,B是否真的可以登录?

有没有人测试过?

 

加载中
0
leo108
leo108

得看服务端那边是怎么判断的了,如果cookie验证是用户名和密码,应该是通用的。

如果cookie里的验证信息也包括浏览器信息,这个就不一定能通过验证了

0
deleted
deleted

可以, 基本上xss都可以转化成cookie劫持

限制IP也没办法防彻底的, 比如学校/网吧/小区宽带+小的ISP运营商/一部分公用IP出口的3G,几百到几万个人共用一个出口IP

安全系数要求高的上https吧

0
Andre.Z
Andre.Z

别人的满分卷,被你拿了,如果没有姓名啥的,你填了,是不是你就是满分?
至于说验证信息包含浏览器信息啥的,我认为基本没人那么做,一般的站点,有保留cookie验证信息的那种,你用多个不同的浏览器登录,那多个都是能用的,不可能说服务器还给你存那些浏览器信息啥的。
甚至说,连IP验证都没啥人去做,adsl拨号啥的,那个IP不是固定的。你当各个家里整个固定IP?没那么多可以分配吧。否则IP库也没需要更新的必要了。各个地区的IP段它都不是固定的,隔一些时间,就会变化的。

Andre.Z
Andre.Z
回复 @leo108 : 对于浏览器一样的情况,这种方法还是防不住。而恰恰大部分人的浏览器,是一样的,我说的是普通用户。所以这种防护可以说基本没用的,所以我说基本没人那么做,我没说一定没人那么做啊,哈哈哈,中国语言,你懂的。
leo108
leo108
回复 @Andre.Z : 存放的地方就是cookie呀,校验的时候就从数据库里读出用户密码的hash,再加上当前用户的User-Agent就可以计算出校验值了,再和cookie里的校验值一比较就知道这个cookie是否是有问题的
Andre.Z
Andre.Z
回复 @leo108 : 大部分用户的浏览器可能是一样的哦。这个方法还是不彻底啊。
Andre.Z
Andre.Z
回复 @leo108 : 既然服务器要比较这个信息,那么肯定有个存放的地方吧?代理服务器的话,可以认为是另外一个问题,cookie的共享问题。
leo108
leo108
回复 @leo108 : 错了,是hash(hash(pwd)+ User-Agent)
下一页
0
chunbin0220
chunbin0220

验证User-Agent是浮云,验证IP客户体验差。

这个真纠结~

 

0
杨炎武
定义cookie只保存在内存中不就行了,如果用户重新打开浏览器就需要重新验证身份
0
chunbin0220
chunbin0220

那跟session就没啥区别了~用户体验不太好~

总之,cookie有着天生的缺陷,无法防复制,不是绝对靠谱的~

返回顶部
顶部