0
사용자가 로그인 할 때 무작위 세션 ID가 생성되어 데이터베이스 테이블 행과 세션 변수에 저장됩니다. 사이트의 인증 된 부분에 액세스하기 전에 세션 변수에 저장된 세션 ID가 사용자 테이블 행의 세션 ID와 동일한 지 확인하는 검사가 있습니다.
제 질문은 세션 변수에 부울 플래그를 설정하는 것보다 안전하다는 것입니다.이 세션 관리/인증 방식이 좋습니다.
감사합니다.
A
답변
0
약간 안전합니다. 이제 침입자는 클라이언트와의 통신의 일부를 읽을 수 있어야합니다 (예 : Wi-Fi 스니퍼로 사무실 외부에 앉아 있거나 Mc Donald 's의 다음 테이블 또는 버스 옆에 앉아서).
그래도 여전히 좋은 생각은 아닙니다. 우선 "Google Replay attack"...
+0
MITM 공격은 * 인증 * 프로토콜에만 국한된 것이 아니라 보안을 전송하므로 사용자의 대답은별로 의미가 없습니다. – Henrik
관련 문제
- 1. 부분 문자열에 Groovier 방식이 있습니까?
- 2. Android 로깅 방식이 비동기입니까?
- 3. 이 예제는 인덱스를 사용하는 것이 가장 좋습니다
- 4. 이 예를 들어 사용하는 것이 좋습니다
- 5. 이 프로세스를 다른 스레드로 분할하는 것이 좋습니다?
- 6. std : wstring의 풀입니다. 이 접근 방식이 너무 순진합니까?
- 7. 재생 방식이 다른 음성
- 8. URI 방식이 아닌 "파일"
- 9. 레일은 자동 방식이
- 10. 세션 객체에`request_token`이 없습니다
- 11. 이 세션 공급자가 웹에 맞습니까?
- 12. 이 코드 부분에 세션 적용
- 13. CSRF 방지를 위해 세션 또는 쿠키를 저장할 토큰이 더 좋습니다.
- 14. 하루 종일 세션 시간 제한을 설정하는 것이 좋습니다.
- 15. Chrome에서 애니메이션 방식이 작동하지 않습니다.
- 16. I는 컨트롤러 방식이 동일한 제어기
- 17. Multi-DAL 방식이 여기로가는 길입니까?
- 18. 안드로이드에서 쓰레드를하는 내 방식이 맞습니까?
- 19. 성능면에서 Drupal의 모듈 방식이 좋습니까?
- 20. 어떤 MySQL 데이터베이스 엔진이 세션 및 세션 데이터 저장에 더 좋습니다 : MyISAM 또는 InnoDB?
- 21. 조건부 클릭 방식이 작동하지 않습니다.
- 22. RDLC 보고서의 정렬 방식이 잘못되었습니다.
- 23. 컨트롤러 비공개 방식이 작동하지 않습니다.
- 24. 나는 PartialViewResult를 원하는 방식이 아니다.
- 25. 로드 데이터 방식이 잘못 되었나요?
- 26. ViewStart의 Thread.CurrentUICulture를 설정하는 것이 좋습니다.
- 27. 인덱스, 포인터, 반복기가 더 좋습니다. 이 벡터에 관해서
- 28. 이 스 니펫에서 파일을 닫지 않는 것이 좋습니다.
- 29. 이 분석 도구를 사용하여 스레드 덤프를 보는 것이 가장 좋습니다 :
- 30. 이 다중 스레드 케이스에서 스레드 풀을 사용하는 것이 좋습니다?
세션 사전에 저장하는 세션 변수는 클라이언트의 HTTP 쿠키를 통해 세션 ID를 받으면 설정되는 간단한 메모리 사전입니다. 그 세션 ID는 이미 큰 키 공간으로 무작위로 생성되었거나 사용자가 서로의 세션 ID를 추측 할 수 있으므로 새로운 세션 ID를 생성하는 것은 완전히 낭비적이고 불필요합니다. PHP와 어떤 프레임 워크라도 인증을 처리하게하십시오. HTTPS를 사용하여 전송을 암호화해야하며 충분히 안전합니다. – Henrik