1
A
回答
2
就某些人使用公共機器而言,這可能是一個潛在的安全問題。所以讓它可選。你也需要考慮一些機器使用動態IP地址。你提出的方法在這種情況下不起作用。
但所有以上方法仍店cookie中的密碼。
1
只需創建「註銷」鏈接,在那裏你在刪除之前的Cookie,接他們的電子郵件和郵寄他們的哈希,再生成的Cookie鏈接。所以他們可以在公共機器上註銷。
在通過數據庫處理之前對cookie進行淨化。
+0
註銷按鈕將刪除cookie,他們將不得不重新輸入數據。我只是問這是否是一個安全漏洞。 Cookies可能被篡改。如果有人也可以篡改ip,他們可能會非法訪問我的網站。 – ppp 2012-04-06 08:35:52
+0
如果在刪除cookie之前存儲所有數據,則不適用。通過電子郵件發送鏈接重置cookie。 IP只能在Cookies中被篡改,所以你需要更好的安全性(結合電子郵件檢查就可以了) – 2012-04-06 08:38:11
1
那是當然,一個安全漏洞,因爲如果用戶登錄到您的網站,卻忘了註銷,使用此計算機(與電腦上相同的帳戶),任何人都可以登錄到您的網站。
請注意此問題也會發生所有的網站,只是它通常僅限於會話有效期。
因爲這是所有的網站是如何工作的,我不認爲這是一個真正的安全漏洞,但它肯定鼓勵用戶不修邊幅的安全性。這是一個椅子/鍵盤接口的安全漏洞:P
由於@Ed治癒是說,不存儲密碼在cookie中,存儲隨機令牌,而不是你會在DB保存。登錄過程應該檢查存儲在數據庫中的cookie是否等於cookie上的cookie。
相關問題
- 1. Cookie Stealer /登錄系統(PHP)
- 2. PHP登錄系統:記住(永久cookie)
- 3. 關於網絡登錄系統中cookie的工作方式
- 4. C#基於登錄信息的Cookie
- 5. 爲什麼我的基於會話的登錄系統無效?
- 6. 基於會話的登錄系統 - 通過AJAX發出警告
- 7. CakePHP登錄系統
- 8. MyspaceID登錄系統
- 9. PHP登錄系統
- 10. joomla登錄系統
- 11. PHP登錄系統?
- 12. Django登錄系統
- 13. Wpf登錄系統
- 14. 基於現有表創建一個ASP.net登錄系統?
- 15. 何時使用基於OpenID的登錄系統而不是傳統版本?
- 16. PHP/MySQL的登錄系統
- 17. java的登錄系統
- 18. 的Minecraft登錄系統
- 19. Php登錄系統-null值登錄
- 20. 登錄系統沒有使用變量的cookie
- 21. 我可以用cookie改進我的PHP登錄系統嗎?
- 22. 什麼應該存儲在一個登錄系統的cookie中?
- 23. 基於XMPP的Chatbot基於UC系統
- 24. Cookie不能與登錄系統一起使用CodeIgniter
- 25. 如何使用cookie和會話創建安全登錄系統?
- 26. 通過ajax登錄到遠程系統並設置Cookie
- 27. 我不能登錄系統
- 28. 在.jsp中登錄系統
- 29. 登錄系統與會話
- 30. PHP登錄系統。安全?
我不介意這種方法不適用於某些場景,我只是想提供它作爲額外的,而不是作爲基本的登錄系統,如果失敗,他們只需進入登錄界面並輸入他們的數據,我也不介意給予同一機器訪問權限的其他用戶訪問權限,我認爲這是用戶的責任當然,存儲密碼也是我的一個安全犯罪 – ppp 2012-04-06 08:56:03
爲什麼不採用雅虎(其中包括)使用的方法?有一個複選框讓你登錄。瀏覽器關閉它們被註銷。 – 2012-04-06 09:28:10