我正在考慮在會話狀態中存儲用戶輸入的密碼。是否存在我需要注意的安全風險或問題?在會話中存儲密碼
在會話中存儲密碼
回答
是的。這只是一個非常糟糕的主意。您甚至不應該將密碼存儲在數據庫中 - 最好的做法是存儲密碼哈希值。所以你可以驗證密碼,但是如果有人訪問數據庫(或者你的情況下會話狀態),他們實際上並沒有用戶的密碼。
但會話狀態不一定在數據庫中,這會使它更安全。如果會話狀態不被保留,可以將密碼存儲在會話狀態中嗎? – BlueMonkMN 2014-03-26 21:13:07
密碼永遠不會永遠存儲在任何地方。 salt +哈希密碼,只要他們到達服務器,然後只對該結果進行操作。您無需對用戶的原始密碼進行操作。 – 2014-03-27 01:08:20
在asp.net中,有很多地方可以存儲會話數據。最常見的是開發中,它是InProc,或者基本上在RAM內存中。不過,有一天您可能會決定使用不同的會話提供程序,如數據庫或使用Windows Azure緩存。 以明文形式存儲密碼將使它們在通過網絡在這兩種情況下傳輸時都可見。
在上述場景中,通過網絡傳輸會話數據,除非通過https發送傳輸,否則將顯示清除密碼。
- 1. 在joomla會話中存儲mod_login密碼
- 2. 將會話密鑰存儲在localstorage中
- 3. 在Android中存儲會話密鑰
- 4. 存儲Kerberos會話密鑰
- 5. 將會話密碼存儲在會話持續時間的變量中
- 6. ASP.Net在會話cookie中存儲用戶密碼?
- 7. 在PHP會話中存儲用戶密碼常見嗎?
- 8. wp_get_referer在會話中存儲
- 9. 在會話中存儲UnityManager
- 10. 在mysql中存儲會話
- 11. 存儲在會話
- 12. GWT和存儲會話密鑰
- 13. PHP/Drupal,會話存儲和加密
- 14. 存儲會話
- 15. 在加密的cookie中存儲密碼?
- 16. 將加密密碼存儲在xml中
- 17. 使用cookie /會話存儲用戶名,密碼 - Java Servlets
- 18. 存儲加密密碼和salt或僅存儲加密密碼?
- 19. 密碼存儲?
- 20. 存儲密碼
- 21. 存儲密碼
- 22. Kohana 3 - 在緩存中存儲會話
- 23. 在會話安全中存儲登錄名和密碼哈希值?
- 24. 存儲在MobileSafari內存中的密碼
- 25. Git-Svn會存儲Svn密碼嗎?
- 26. 在會話中傳遞密碼
- 27. 密碼加密和密碼存儲 - Perl
- 28. 存儲驗證碼的會話值
- 29. Asp.net會話存儲
- 30. rails3會話存儲
閱讀相關帖子 http://stackoverflow.com/questions/4862096/is-storing-login-and-password-hash-in-session-secure-net-c-sharp – 2011-12-16 21:47:57