1
서명 된 쿠키의 내용은 위험물로 검사 할 수는 있지만 변경할 수는 없습니다. Itsdangerous을 클라이언트 측 세션 관리에 사용할 때 알려진 보안 문제 또는 고려 사항이 있습니까?세션 관리를 위해 위험한 문제가 있습니까?
어떤 암호를 저장하지 않습니다 문제의 세션,하지만 분명히 사용자를 식별하는 몇 가지 정보와 같은
- 사용자 ID
- URL은
- 사용자 역할 (들)
A
답변
1
서명에 시간 초과를 사용하지 않으면 공격자가 다른 사용자 (또는 관리자)의 쿠키를 간단히 바꿀 수 있습니다. 세션 ID는 더 불투명합니다. 즉, 공격자가 각 공격자를 차례로 시도해야하지만, 서명 된 문자열을 즉시 (즉, 개방형 프록시 서버에서) 검사 할 수 있습니다.
관련 문제
- 1. NH3에서 세션 관리를 위해 NHibernate.Burrow
- 2. 거기에 서버 구성이 세션 관리를 위해 변경해야합니다.
- 3. GWT - 얻기 세션 관리를 잘
- 4. 클러스터에서 작업 관리를 위해 셀러리를 사용하고 있습니까?
- 5. 세션 등록 문제가 있습니까?
- 6. PHP : 세션 문제가 있습니까?
- 7. InProc 세션 관리를 사용하는 동시 ASP.NET 요청
- 8. IE8 세션 공유에 문제가 있습니까?
- 9. 어떻게 RackSpace Cloud로 세션 관리를 수행합니까?
- 10. 위험한 이벤트 로그를 삭제하고 있습니까?
- 11. ContentResolver를 위험한 것으로 전달하고 있습니까?
- 12. 사용자를 위해 여러 파일 관리를 어떻게 관리합니까?
- 13. "유지 관리를 위해 다운"페이지 구현
- 14. 콘텐츠 관리를 위해 SharePoint에 Interwoven Teamsite 통합
- 15. iOS 프로그래밍에서 메모리 관리를 위해 릴리즈를 사용해야합니까?
- 16. 작업 관리를 위해 GAE 데이터 저장소 사용
- 17. 간편한 관리를 위해 여러 파일로 코드 분할
- 18. 로컬 변경 관리를 위해 mercury의 mq 사용하기
- 19. 루비는 메모리 관리를 위해 스택을 사용합니까?
- 20. 유지 관리를 위해 동적으로 데이터베이스를 변경하십시오.
- 21. 트랜잭션 관리를 위해 대화 전략 당 세션을 사용하는 방법
- 22. WInforms에서 세션 관리 개념이 있습니까?
- 23. Uploadify가 변수를 전달하지 않음, 세션 문제가 있습니까?
- 24. 위험한 여러 언어를 동시에 학습하고 있습니까?
- 25. JSP로 세션 문제가 발생했습니다.
- 26. PHP 세션 문제가 발생했습니다.
- 27. SQL Server 세션 관리를 사용하여 ASPState 데이터베이스에서 세션 값을 확인하는 방법
- 28. asp.net 양식을 차단하는 위험한 문자가 있습니까?
- 29. HttpResponse 객체를 사용하여 안드로이드에서 서버와 디바이스간에 세션 관리를 유지할 수 있습니까?
- 30. 더 나은 유지 관리를 위해 .pot 파일을 생성하는 방법은 무엇입니까?
REST API 엔드 포인트에 대한 한 가지 접근 방법으로 로그인시 비밀번호로 서명 된 문자열을 서버에서 제공 한 다음 사용자 ID와 함께 각 요청시 보내지고 만료 기간 (예 : X 시간)을 갖습니다. 서명 된 문자열은 서버에도 저장됩니다. 로그 아웃시 문자열은 서버에서 제거됩니다. 그렇게하면 문자열 (토큰)이 2 시간 동안 임시 암호로 작동합니다 (또는 로그 아웃이있는 경우 더 적음). – Soferio