Większość aplikacji internetowych wykorzystuje pliki cookie do zarządzania sesją dla użytkownika i pozwala na pozostanie zalogowanym, nawet jeśli przeglądarka została zamknięta.Jak zapobiec przechwytywaniu sesji, po prostu kopiując plik cookie z komputera na inny?
Pozwala udawać, że zrobiliśmy wszystko w książce, aby upewnić się, że sam plik cookie jest zapisany.
- zaszyfrować zawartość
- zestaw http tylko
- zestaw zabezpieczyć
- SSL jest używany do
- sprawdzamy manipulowanie zawartością cookie
Jest on połączeniem możliwe, aby uniemożliwić komuś fizyczny dostęp do urządzenia, aby skopiować plik cookie i ponownie użyć go na innym komputerze, a tym samym kradzieży sesji?
Żadna z proponowanych kontroli w żaden sposób nie powstrzyma kogoś przed fizycznym skopiowaniem niezmodyfikowanego pliku cookie do nowej lokalizacji. – Deadron
Możesz powiązać sesję z adresem IP, ale to nie jest dobry pomysł sam w sobie, ponieważ łamie się dla uprawnionych użytkowników w różnych okolicznościach. (Chociaż kontrola IP może z pewnością być przydatna jako część szerszej strategii oceny ryzyka.) – bobince
@bobince: Adres IP nie jest opcją, ponieważ unieważniasz pliki cookie za każdym razem, gdy zmienisz sieć. – Sam