用cookie儲存登入的使用者名稱和密碼,當使用者訪問**的時候,獲取cookie的使用者名稱和密碼,通過使用者名稱查詢資料庫裡對應的密碼,然後與cookie裡的密碼匹配,如果匹配成功則驗證通過,如果匹配失敗則驗證失敗清除cookie,請問這種驗證方式是否危險?
藍楓_曉
|瀏覽 6780 次
發布於2015-01-19 18:39
最佳答案
追問
你這是站在使用者的角度講的。。。我說的是伺服器那邊有沒有可能被攻擊或者被使用者惡意欺騙,使用者這邊的資料都要加密的好吧
追答
。。。伺服器叫session,不懂不要亂說哈。給你參考下:
cookie 和session 的區別:
1、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上。
2、cookie不是很安全,別人可以分析存放在本地的cookie並進行cookie欺騙
考慮到安全應當使用session。
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較占用你伺服器的效能
考慮到減輕伺服器效能方面,應當使用cookie。
4、單個cookie儲存的資料不能超過4k,很多瀏覽器都限制乙個站點最多儲存20個cookie。
5、所以個人建議:
將登陸資訊等重要資訊存放為session
所以說session比較安全,如果乙個伺服器不能做到相對的安全,那它還怎麼能提供安全可靠的服務?
追問
我只是儲存登入的使用者名稱和密碼判斷登入狀態而已,就像你說的session對伺服器有一定的壓力,而cookie你對儲存的資訊加密以後就不怕資訊洩露了。我想問的是,我那種驗證方式使用者有沒有可能偽造cookie登入其他賬戶或者進行注入攻擊之類的
追答
可以的,這個就需要他們伺服器一方有注入漏洞或者存在cookie欺騙的漏洞。
像以前的動網論壇,就有這個
追問
我那種驗證方式可以欺騙麼?
追答
肯定啊。你本地的cookie其實就是伺服器快取到你的電腦上的。既然伺服器都能淪陷,你的本地的也木有用了。
python註冊使用者名稱和密碼登入 使用者名稱和密碼登入
我想建立乙個登入,其中將開啟乙個文字 csv檔案,從檔案中讀取 有效 的使用者名稱和密碼,然後如果使用者新增的內容與檔案中的內容匹配,那麼它將允許訪問程式的其餘部分 如何將下面的 整合到其中乙個檔案中開啟乙個檔案,讀取有效的使用者名稱和密碼,並根據使用者的輸入進行檢查 目前我有一些工作,但只有乙個密...
儲存的使用者名稱和密碼
在windows xp pro裡,經常需要訪問 儲存使用者名稱和密碼 對話方塊,例如增加遠端計算機的訪問憑據,或者刪除microsoft passport的登入資訊。但是這個元件隱藏的比較深,可以借助以下兩種方式 1.在控制面板裡開啟 使用者帳戶 選擇當前登入帳戶,然後單擊左上方的 管理我的網路密碼...
vue 登入頁面使用Cookie記住使用者名稱和密碼
一 cookie 基礎知識 1,cookie 是有大小限制的,大多數瀏覽器支援最大為 4096 位元組 大約4m 的 cookie,如果 cookie 字串的長度超過最大限制,則該屬性將返回空字串。2,由於 cookie 最終都是以檔案形式存放在客戶端計算機中,所以檢視和修改 cookie 都是很方...