登陆状态用cookie存储,怎么样让它更加安全??
0
所有回答(7)
0
不行,顶多再在 Cookie 中加入 IP。好的策略是启用 HTTPS。
那些一般安全性比较高的网站,譬如网银系统或者淘宝什么的,登陆状态保存时如何保存的呢?
@软谋在线教育: HTTPS、启用会话。
-9
90%以上的程序员以为只要问一问就能够将价值几十亿的安全问题弄懂,我也是醉了。
安全问题从来都是最贵的,功能10万就可以做一个银行网站,其他的费用50%以上是安全方面的费用。
你知道一个银行网站多少钱吗?
那你就说说一般般的网站就在我说的这块是如何处理安全问题的。
@软谋在线教育: 能够说给你听的,你都可以在网上找到,
反正劳动力比较廉价,找个三五天,自已研究个三五年,应该能在安全性方面从35%提高到45%左右吧。
一个好的程序员花一个月写的代码,可能就比一个差的程序员花三个月写的代码安全了15%,效率提高30%,
这个我会告诉你吗?
一个企业网站,3000也在做,30万也在做,这个我会告诉你吗?
安全性是看你觉得你的安全值多少钱,然后去找低于这个价值出价的解决方案,
没有绝对的安全性的。
@爱编程的大叔: 我是想得到有价值的答案,而非你在这里长篇大论,废话成堆,明白?不知道就省省力气不要回答。ok ?
@爱编程的大叔: 最鄙视你这种好为人师的唐僧,专业人士就回答专业的问题,那么喜欢说废话,就去天涯里面灌水,这里是技术论坛。
@软谋在线教育: 其实只要你思索一下回复的内容,你应该明白这种回答,有时候比答案本身更重要。如果你稍微搜索一下cookie的特点,就应该明白,用cookie保存密码是不靠谱。再者,具体的实现应该依据你系统本身的场景来决定。
@软谋在线教育: 顺便再说一句,谦逊是一种美德。
你是在这秀优越感吗?
0
你只有几种选择:
1. 用https。 成本高了吧。 那就看第二种。
2. 再在cookie中加个值, 加密过的时间戳,用来做对比,其它的细节自己想。
没有最安全只有更安全。
你可以搞一个加密过的sessionID,发送到客户端cookie,然后把这个sessionid+客户IP及端口神马的保存到数据库。跟前面我说的组合起来。
细节还是得自己想。
方式有很多种。 不说了准备下班。
0
使用session吧 好一点 cookie太不安全 或者使用https加密
0
看有朋友说Session,Session跟Cookie其实是一样的,都是cookie,没有区别,只是cookie的时效和格式有差别而已,如果能获取到你客户端的cookie,相对来说都是不安全的,这个HTTP的无状态分不开,可以参考下这个链接http://www.loowe8.com/250.html
HTTPS确实相对是安全的,估计一般的系统不会用,成本太高
金融类的网站,一般登录前需要装客户端控件的
0
那个人,经常看到,给别人的回答是,没几个能对号入座,都是在讲一些大道理,装逼,一些不着边际的扯淡。谦逊是一种美德,但也要看看哪些人,值不值得让人谦逊。
0
密码即使加密也不能存放到Cookie里面!其他的信息可以通过密钥可逆加密。
