首页新闻找找看学习计划

登陆状态用cookie存储,怎么样让它更加安全??

0
悬赏园豆:50 [待解决问题]

我把登陆状态用cookie存储了(个人中心等等都是依据此状态是否存在来判断),

格式为 “用户名ID_用户名_加密后的密码”,我如何防止别人获取了cookie文件然后直接读取了cookie值,就可以进入个人中心???

蜡笔小新111的主页 蜡笔小新111 | 初学一级 | 园豆:6
提问于:2015-01-20 13:24
< >
分享
所有回答(7)
0

不行,顶多再在 Cookie 中加入 IP。好的策略是启用 HTTPS。

Launcher | 园豆:45040 (高人七级) | 2015-01-20 13:27

那些一般安全性比较高的网站,譬如网银系统或者淘宝什么的,登陆状态保存时如何保存的呢?

支持(0) 反对(0) 蜡笔小新111 | 园豆:6 (初学一级) | 2015-01-20 13:33

@软谋在线教育: HTTPS、启用会话。

支持(0) 反对(0) Launcher | 园豆:45040 (高人七级) | 2015-01-20 13:55
-9

90%以上的程序员以为只要问一问就能够将价值几十亿的安全问题弄懂,我也是醉了。

安全问题从来都是最贵的,功能10万就可以做一个银行网站,其他的费用50%以上是安全方面的费用。

你知道一个银行网站多少钱吗?

爱编程的大叔 | 园豆:29841 (高人七级) | 2015-01-20 13:43

那你就说说一般般的网站就在我说的这块是如何处理安全问题的。

支持(0) 反对(0) 蜡笔小新111 | 园豆:6 (初学一级) | 2015-01-20 13:45

@软谋在线教育: 能够说给你听的,你都可以在网上找到,

反正劳动力比较廉价,找个三五天,自已研究个三五年,应该能在安全性方面从35%提高到45%左右吧。

一个好的程序员花一个月写的代码,可能就比一个差的程序员花三个月写的代码安全了15%,效率提高30%,

这个我会告诉你吗?

一个企业网站,3000也在做,30万也在做,这个我会告诉你吗?

安全性是看你觉得你的安全值多少钱,然后去找低于这个价值出价的解决方案,

没有绝对的安全性的。

支持(0) 反对(3) 爱编程的大叔 | 园豆:29841 (高人七级) | 2015-01-20 13:57

@爱编程的大叔: 我是想得到有价值的答案,而非你在这里长篇大论,废话成堆,明白?不知道就省省力气不要回答。ok ?

支持(0) 反对(0) 蜡笔小新111 | 园豆:6 (初学一级) | 2015-01-20 13:59

@爱编程的大叔: 最鄙视你这种好为人师的唐僧,专业人士就回答专业的问题,那么喜欢说废话,就去天涯里面灌水,这里是技术论坛。

支持(1) 反对(0) 蜡笔小新111 | 园豆:6 (初学一级) | 2015-01-20 14:01

@软谋在线教育: 其实只要你思索一下回复的内容,你应该明白这种回答,有时候比答案本身更重要。如果你稍微搜索一下cookie的特点,就应该明白,用cookie保存密码是不靠谱。再者,具体的实现应该依据你系统本身的场景来决定。

支持(0) 反对(0) 幻天芒 | 园豆:36522 (高人七级) | 2015-01-20 15:34

@软谋在线教育: 顺便再说一句,谦逊是一种美德。

支持(0) 反对(0) 幻天芒 | 园豆:36522 (高人七级) | 2015-01-20 15:35

你是在这秀优越感吗?

支持(0) 反对(0) 云端观云 | 园豆:200 (初学一级) | 2018-07-13 17:34
0

你只有几种选择:

1.  用https。 成本高了吧。 那就看第二种。

2.  再在cookie中加个值, 加密过的时间戳,用来做对比,其它的细节自己想。 

没有最安全只有更安全。 

问天何必 | 园豆:3291 (老鸟四级) | 2015-01-20 17:05

你可以搞一个加密过的sessionID,发送到客户端cookie,然后把这个sessionid+客户IP及端口神马的保存到数据库。跟前面我说的组合起来。

细节还是得自己想。  

方式有很多种。 不说了准备下班。 

支持(0) 反对(0) 问天何必 | 园豆:3291 (老鸟四级) | 2015-01-20 17:13
0

使用session吧  好一点  cookie太不安全   或者使用https加密

丿归途 | 园豆:246 (菜鸟二级) | 2015-01-20 17:07
0

看有朋友说Session,Session跟Cookie其实是一样的,都是cookie,没有区别,只是cookie的时效和格式有差别而已,如果能获取到你客户端的cookie,相对来说都是不安全的,这个HTTP的无状态分不开,可以参考下这个链接http://www.loowe8.com/250.html

HTTPS确实相对是安全的,估计一般的系统不会用,成本太高

金融类的网站,一般登录前需要装客户端控件的

PETER@@@ | 园豆:248 (菜鸟二级) | 2015-01-21 09:31
0

那个人,经常看到,给别人的回答是,没几个能对号入座,都是在讲一些大道理,装逼,一些不着边际的扯淡。谦逊是一种美德,但也要看看哪些人,值不值得让人谦逊。

king2003 | 园豆:161 (初学一级) | 2015-01-23 11:15
0

密码即使加密也不能存放到Cookie里面!其他的信息可以通过密钥可逆加密。

Cat Qi | 园豆:761 (小虾三级) | 2015-01-26 09:27
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册