1
알려진 시스템에 있고 IP가 변경되지 않은 경우 로그인 데이터를 입력하지 않고도 쿠키 - ip 매칭 시스템을 사용하여 사용자를 자동으로 로그인하는 것을 고려하고 있습니다.쿠키 기반 로그인 시스템
이 정책은 괜찮습니까? 아니면 중요한 보안 구멍을 열었습니까?
A
답변
2
일부 사람들이 공용 컴퓨터를 사용하는 한 잠재적 인 보안 문제 일 수 있습니다. 그래서 선택적으로 만드십시오. 또한 일부 컴퓨터에서는 동적 IP 주소 지정을 사용하는 것을 고려해야합니다. 이 경우 제안 된 방법은 작동하지 않습니다.
그러나 무엇보다도 비밀번호를 쿠키에 저장하지 마세요.
1
"로그 아웃"링크를 만드십시오. 쿠키를 삭제하기 직전에 전자 메일을 선택하고 해시로 링크를 보내면 쿠키가 재생성됩니다. 따라서 공용 컴퓨터에서 로그 아웃 할 수 있습니다.
데이터베이스를 처리하기 전에 쿠키를 살균하십시오.
+0
로그 아웃 버튼은 쿠키를 삭제하며 데이터를 다시 입력해야합니다. 이것이 보안상의 구멍인지 묻는 것뿐입니다. 쿠키가 훼손 될 수 있습니다. 누군가가 IP를 변조 할 수 있다면 내 웹 사이트에 불법적으로 액세스 할 수 있습니다. – ppp
+0
쿠키를 삭제하기 전에 모든 데이터를 저장하지 않아도됩니다. 전자 메일로 링크를 보내 쿠키를 다시 설정하십시오. IP는 쿠키에서만 변조 될 수 있으므로 더 나은 보안이 필요합니다. (전자 메일 검사와 결합 할 수 있습니다.) –
1
사용자가 웹 사이트에 로그인하여 로그 아웃하는 것을 잊어 버리면 컴퓨터에서 동일한 계정으로이 컴퓨터를 사용하는 모든 사용자가 귀하의 웹 사이트에 로그인 할 수 있기 때문에 물론 보안상의 결함입니다.
이 문제는 모든 웹 사이트에서도 발생하며 대개 세션 수명에만 제한됩니다.
이것이 모든 웹 사이트의 작동 방식이므로 실제 보안 구멍이라고 생각하지 않지만 사용자가 보안에 대해 부주의하게 생각하는 것이 좋습니다. 의자/키보드 인터페이스 보안 구멍입니다 : P
@Ed Heal은 쿠키에 암호를 저장하지 않고 DB에 저장하는 대신 임의의 토큰을 저장합니다. 로그인 프로세스는 DB에 저장된 쿠키가 쿠키의 쿠키와 동일한 지 확인해야합니다.
관련 문제
- 1. 쿠키/세션 로그인 시스템
- 2. 로그인 시스템 (PHP) 쿠키 및 세션
- 3. 쿠키 기반 세션의 보안
- 4. 쿠키 시스템 - 보안
- 5. 쿠키 기반 메뉴 선택
- 6. 쿠키 기반 인증 보안
- 7. php : 쿠키 기반 세션
- 8. 로그인 쿠키 보안
- 9. VB.Net 쿠키 로그인
- 10. PHP 컬 로그인 쿠키
- 11. 안전한 로그인 쿠키 만들기
- 12. 로그인 PHP 용 쿠키 사용
- 13. 세션 기반 쿠키 jquery를 만들려면
- 14. 하위 도메인의 쿠키 기반 인증
- 15. 쿠키 기반 인증 로그 아웃이 작동하지 않습니다.
- 16. 사용자 기반 시스템
- 17. ANN 기반 네비게이션 시스템
- 18. 클래스 기반 상태 시스템?
- 19. 웹 기반 시스템 아키텍처
- 20. 커뮤니티 기반 번역 시스템
- 21. 폼 인증이없는 .NET 쿠키 기반 인증
- 22. 데이터베이스 기반 로그인 시스템을 만드는 방법
- 23. 항상 로그인 프레임 - HTML 쿠키
- 24. 공유 서버 보안 쿠키 로그인
- 25. 쿠키 토큰 인증 로그인 방법
- 26. 사용자 로그인 세션 대 쿠키
- 27. 로그인 또는 세션에 쿠키 사용
- 28. PHP 로그인 스크립트에서 쿠키 설정
- 29. PHP 세션 로그인 시스템
- 30. PHP 로그인 시스템?
일부 시나리오에서는 작동하지 않는 방법에 신경 쓰지 만 추가로 제공하고 싶습니다. 실패한 경우 화면의 로그인 화면으로 이동하여 데이터를 입력하고 동일한 컴퓨터 액세스 권한을 가진 다른 사용자에게 액세스 권한을 부여하지 않습니다. 로그를 작성하는 것은 사용자의 책임이라고 생각합니다. (물론) 비밀 번호를 저장하는 것은 내게 보안 범죄가 될 수 있습니다. – ppp
야후가 사용하는 방법을 선택하지 않는 이유는 무엇입니까? 로그인 상태를 유지하기위한 확인란이 있습니다. 그러면 기본적으로 브라우저가 로그 아웃했다가 닫힙니다. –