我几天前在Pyramid框架上启动了我的网站,并且由于性能原因我选择了session.type = cookie pyramid_beaker 。
所以在cookie中我加密了user_id,它看起来像这样:
usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int"
# for example here is encrypted id 1
而且我试图替换cookie。我已经在id 2下登录,在之前的一个上更改了它的cookie,现在我自动登录了id 1!
这是正常的吗?安全吗???用它的超级算法加密是什么?那么,有些病毒可以窃取一些用户的cookie并以他的身份登录?安全???在哪里?
有人可以解释一下吗? 谢谢!
答案 0 :(得分:5)
是的,会话cookie很容易被盗,并被用来冒充登录用户。您可以通过为会话提供短暂的生命周期和/或将它们绑定到客户端的IP地址来在一定程度上最小化此风险,但这些仅仅是专门的黑客的绊脚石。唯一真正的解决方案是使用SSL完全加密会话。这就是为什么许多热门网站(Gmail,Facebook等)提供或要求HTTPS会话,以及Firefox扩展HTTPS Everywhere存在的原因。