基本上,我有一个包含3个值,用户名,密码和cookie的SQL表。
狗-猫-a8bfc7ec7a2b0ba10977fddd59fc403d
登录时,它会检查用户名和密码是否匹配,然后生成一个随机的md5哈希,将其插入数据库,然后将其设置为用户的cookie。
使用该网站后,它将检查cookie是否与数据库中的任何cookie匹配,以验证它们是否已登录。
此系统的安全性如何?
答案 0 :(得分:0)
如果我理解正确,那么您正在使用随机的md5作为ID来标识两次请求之间的客户端,而无需使用其密码。这类似于会话cookie,并且会有类似的安全问题。
如果仅依靠此cookie,则窃取该cookie的任何人都将窃取该用户的帐户。您可以通过给用户添加指纹,检查用户代理以及在请求之间不太可能更改的其他任何内容来扩展验证。请注意,IP可能会更改。您还可以在采取重要措施(例如更改用户的电子邮件或密码)之前要求用户提供密码。
请注意,即使使用浏览器扩展程序也可以轻松访问用户的cookie。