2
사용자를 결정하기 위해 JavaScript 코드를 사용해야하므로 세션 ID를 사용하기로 결정했습니다. 사용자의 세션 ID를 본인에게 공개하면 안전합니까?사용자가 자신의 세션 ID를 노출하는 것이 안전하지 않습니까?
ID를 사용하여 웹 사이트 세션을 해킹하거나 변경할 수 있습니까?
A
답변
7
쿠키를 검사하여 세션 ID를 볼 수 있습니다 (쿠키를 사용하지 않도록 설정하면 대개 모든 링크에 GET 인수로 추가됩니다).
아니요, 그는 자신의 세션 ID로 악의적 인 일을 할 수 없습니다.
3
이 ID는 방문당 생성되므로 사용자에게 자신의 세션 ID를 표시하여 큰 보안 문제가 있다고 생각하지 않습니다. 그 세션 ID가 누군가에게 주어지지 않는 한 그것은 너무 좋지 않습니다.
관련 문제
- 1. MD5를 사용하는 것이 안전하지 않습니까?
- 2. 데이터베이스 내부를 노출하는 것이 좋지 않습니까?
- 3. 안드로이드에서 Thread를 사용하는 것이 안전하지 않습니까?
- 4. 도메인 기반의 환경을 전환하는 것이 안전하지 않습니까?
- 5. 나 자신의 세션 ID를 설정할 수 있습니까?
- 6. Facebook SDK, 클라이언트에서 UserID를 전달하는 것이 안전하지 않습니까?
- 7. regenerate_session_id가 세션 ID를 가로채는 사람의 ID를 재생성하지 않습니까?
- 8. URL에 세션 ID를 표시하는 것이 좋습니까?
- 9. 사용자가 모든 파일 업로드 허용. 내 방법이 안전하지 않습니까?
- 10. Zend_Session_SaveHandler_DbTable이 유효한 세션 ID를 생성하지 않습니까?
- 11. 보기에서 ID를 제거하는 것이 좋지 않습니까?
- 12. 사용자가 자신의 사용자 이름
- 13. Rails와의 안전하고 안전하지 않은 세션
- 14. ASP.Net의 Int-UserID 및 세션이 안전하지 않습니까?
- 15. strtol, strtod가 안전하지 않습니까?
- 16. TLS/SSLv3이 안전하지 않습니까?
- 17. rvalue의 c_str() - 안전하지 않습니까?
- 18. WebcryptoAPI - 안전하지 않습니까?
- 19. JDBC가 본질적으로 안전하지 않습니까?
- 20. BindingHelperExtensions.updatefrom/Controller.UpdateModel이 안전하지 않습니까?
- 21. Pyramid_beaker : session.type = 쿠키가 안전하지 않습니까?
- 22. iPhone 앱에 API 키를 저장하는 것이 안전하지 않습니까?
- 23. 웹 페이지/블로그의 서버 측 코드를 게시하는 것이 안전하지 않습니까?
- 24. 정적으로 링크 된 C++ 라이브러리에서 예외를 throw하는 것이 안전하지 않습니까?
- 25. PHP 및 Javascript : 안전하지 않습니까?
- 26. 세션 ID를 사용하여 비누 인증
- 27. struts2 또는 j2ee 응용 프로그램에서 자신의 세션 ID를 만듭니다
- 28. 쿠키에 oauth 토큰을 저장하는 것은 안전하지 않습니까?
- 29. 이 코드는 스레드로부터 안전하지 않습니까?
- 30. 이벤트 핸들러는 스레드로부터 안전하지 않습니까?
PHP는 사용자 쿠키가 비활성화되어 있고 session.use_only_cookies 1 및/또는 session.use_trans_sid 0이 설정되어 있으면 URL에서 세션 ID를 추적 할 수 있다는 점도 언급 할 필요가 있습니다. –
그게 바로 "쿠키를 사용하지 않도록 설정 한 경우 GET 인수로 모든 링크에 추가됩니다" – ThiefMaster
기본 설정은 일반적으로 쿠키가없는 경우 쿠키를 추가하지 않습니다. 사용자가 세션 ID를 사용하여 북마크/링크를 전송할 수 있기 때문입니다. –