c*********e 发帖数: 16335 | 1 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗? |
c********1 发帖数: 5269 | 2 https://en.wikipedia.org/wiki/HTTP_cookie
【在 c*********e 的大作中提到】 : 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
|
w**z 发帖数: 8232 | 3 不用cookie用什么?
【在 c*********e 的大作中提到】 : 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
|
c*********e 发帖数: 16335 | 4 Security vulnerabilities may allow a cookie's data to be read by a hacker,
used to gain access to user data, or used to gain access (with the user's
credentials) to the website to which the cookie belongs (see cross-site
scripting and cross-site request forgery for examples)
Besides privacy concerns, cookies also have some technical drawbacks. In
particular, they do not always accurately identify users, they can be used
for security attacks, and they are often at odds with the Representational
State Transfer (REST) software architectural style
https://en.wikipedia.org/wiki/HTTP_cookie
真奇怪怎么还有人用cookie这种东西。
【在 c********1 的大作中提到】 : https://en.wikipedia.org/wiki/HTTP_cookie
|
c********1 发帖数: 5269 | 5 Are there vital more secure alternative solutions?
I did not see any major web security issue caused by cookies in recent years.
【在 c*********e 的大作中提到】 : Security vulnerabilities may allow a cookie's data to be read by a hacker, : used to gain access to user data, or used to gain access (with the user's : credentials) to the website to which the cookie belongs (see cross-site : scripting and cross-site request forgery for examples) : Besides privacy concerns, cookies also have some technical drawbacks. In : particular, they do not always accurately identify users, they can be used : for security attacks, and they are often at odds with the Representational : State Transfer (REST) software architectural style : https://en.wikipedia.org/wiki/HTTP_cookie : 真奇怪怎么还有人用cookie这种东西。
|
k******t 发帖数: 1498 | 6 你有空的时候整一个替代方案出来大家试试?cross site攻击主要注意也不是什么大问
题。
【在 c*********e 的大作中提到】 : Security vulnerabilities may allow a cookie's data to be read by a hacker, : used to gain access to user data, or used to gain access (with the user's : credentials) to the website to which the cookie belongs (see cross-site : scripting and cross-site request forgery for examples) : Besides privacy concerns, cookies also have some technical drawbacks. In : particular, they do not always accurately identify users, they can be used : for security attacks, and they are often at odds with the Representational : State Transfer (REST) software architectural style : https://en.wikipedia.org/wiki/HTTP_cookie : 真奇怪怎么还有人用cookie这种东西。
|
c*********e 发帖数: 16335 | 7 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
captcha,也可以用一个scrf token.
cookie都是十几年前的老技术了,竟然又死灰复燃。
【在 k******t 的大作中提到】 : 你有空的时候整一个替代方案出来大家试试?cross site攻击主要注意也不是什么大问 : 题。
|
c********1 发帖数: 5269 | 8 I thought session id is similar to cookie, or enhanced cookie.
【在 c*********e 的大作中提到】 : 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re- : captcha,也可以用一个scrf token. : cookie都是十几年前的老技术了,竟然又死灰复燃。
|
d****r 发帖数: 300 | 9 感觉你的问题不靠谱。说到底这个是怎么balance load的问题。cookie 是把session
全部或部分存在客户端,感觉现在是主流因为方便balance load。当然不要忘了加密。
【在 c*********e 的大作中提到】 : 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re- : captcha,也可以用一个scrf token. : cookie都是十几年前的老技术了,竟然又死灰复燃。
|
c*********e 发帖数: 16335 | 10 session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
【在 c********1 的大作中提到】 : I thought session id is similar to cookie, or enhanced cookie.
|
|
|
c********1 发帖数: 5269 | 11 session id and cookie both are a piece of data exchanged between client side
and server site, right?
【在 c*********e 的大作中提到】 : session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。 : cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
|
d********g 发帖数: 10550 | 12 你这是搞混了cookie和session
session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
“用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
少,特别是用在REST API上,和session id比各有优势:
https://tools.ietf.org/html/rfc7519
实际上cookie-based session和JWT很像。这些概念没有那么泾渭分明,都是为了解决
stateless和auth的矛盾而产生的solution或者叫workaround
【在 c*********e 的大作中提到】 : session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。 : cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
|
z****8 发帖数: 5023 | 13 你如果不出来 我就想在下面群嘲了。。。
Session ID 难道不是cookie的一部分?
【在 d********g 的大作中提到】 : 你这是搞混了cookie和session : session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。 : “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的 : cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏 : 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“ : hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然 : 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor : 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不 : 少,特别是用在REST API上,和session id比各有优势: : https://tools.ietf.org/html/rfc7519
|
c*********e 发帖数: 16335 | 14 en,cookie有很多种。我说的session cookie只是存在内存里,不是一个存在hard
drive的physical file.这个区别很大。一个在内存,一个是文件。
A session cookie, also known as an in-memory cookie or transient cookie,
exists only in temporary memory while the user navigates the website. Web
browsers normally delete session cookies when the user closes the browser.
【在 d********g 的大作中提到】 : 你这是搞混了cookie和session : session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。 : “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的 : cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏 : 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“ : hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然 : 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor : 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不 : 少,特别是用在REST API上,和session id比各有优势: : https://tools.ietf.org/html/rfc7519
|
j**********3 发帖数: 3211 | |
c*********e 发帖数: 16335 | 16 存在内存里的session cookie,比较安全,一般没事。但是,存在hard drive里的
cookie,就没那么安全了。twitter用它来分析用户的使用习惯。其实,google
analytics用javascript来更好些。我朋友公司,规定存在hard drive里的cookie,必须
指定过期时间。
【在 j**********3 的大作中提到】 : 用它干啥?为啥不用?
|
O*******d 发帖数: 20343 | 17 cookie的内容可以加密。
【在 c*********e 的大作中提到】 : 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
|
c*********e 发帖数: 16335 | 18 那为啥不推荐cookie里存密码?
【在 O*******d 的大作中提到】 : cookie的内容可以加密。
|
O*******d 发帖数: 20343 | 19 cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
【在 c*********e 的大作中提到】 : 那为啥不推荐cookie里存密码?
|
m***i 发帖数: 2480 | 20 用Http only cookie不就可以了吗
【在 c*********e 的大作中提到】 : 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
|
|
|
c*********e 发帖数: 16335 | 21 OAuth方法,hacker把access token的值拿到以后,能伪装成用户登录吗?
【在 O*******d 的大作中提到】 : cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把 : 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。 : 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道 : 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。 : 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。 : token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
|
c*********e 发帖数: 16335 | 22 如果不用oauth,在用户浏览多个网页的时候,怎么让浏览器知道是同一个用户在浏览呢?
【在 O*******d 的大作中提到】 : cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把 : 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。 : 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道 : 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。 : 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。 : token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
|
c*********e 发帖数: 16335 | 23 If a browser does not support HttpOnly and a website attempts to set an
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly
【在 m***i 的大作中提到】 : 用Http only cookie不就可以了吗
|
a9 发帖数: 21638 | 24 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
器都支持的功能就行了。
【在 c*********e 的大作中提到】 : If a browser does not support HttpOnly and a website attempts to set an : HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus : creating a traditional, script accessible cookie. As a result, the cookie ( : typically your session cookie) becomes vulnerable to theft of modification : by malicious script : https://www.owasp.org/index.php/HttpOnly
|
c*********e 发帖数: 16335 | 25 存在hard drive上的cookie,能存一些用户的私人偏好,比如喜欢上fashion网站,喜
欢上food网站,这些偏好能存在cookie里,server根据这些偏好给用户的网页里加上些
类似的广告连接。
密码是不能存在cookie里的。
【在 a9 的大作中提到】 : 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览 : 器都支持的功能就行了。
|
m***i 发帖数: 2480 | 26 tell me which morden browser does not support http only cookie. Google
accounts rely on it.
【在 c*********e 的大作中提到】 : If a browser does not support HttpOnly and a website attempts to set an : HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus : creating a traditional, script accessible cookie. As a result, the cookie ( : typically your session cookie) becomes vulnerable to theft of modification : by malicious script : https://www.owasp.org/index.php/HttpOnly
|
g*******t 发帖数: 7704 | 27 cookie存广告数据,浏览的页面,然后狗狗的广告就能提取,
flash player也存了很多信息,大部分是广告信息, |
c***n 发帖数: 809 | 28 流分析, 谁这么傻不用https
【在 a9 的大作中提到】 : 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览 : 器都支持的功能就行了。
|