Nareshpathi Ответов: 3

Пользователь может войти на сайт с существующими значениями файлов cookie

пользователь может войти на сайт с украденными файлами cookie после выхода из системы

Что я уже пробовал:

пользователь может войти на сайт с украденными файлами cookie после выхода из системы
Ответ.печенье.понятно()

OriginalGriff

Это не очень хороший вопрос - мы не можем понять из этого малого, что вы пытаетесь сделать.
Помните, что мы не можем видеть ваш экран, получить доступ к вашему жесткому диску или прочитать ваши мысли - мы получаем только то, что вы печатаете для работы.
Используйте виджет "улучшить вопрос", чтобы отредактировать свой вопрос и предоставить более подробную информацию.

3 Ответов

Рейтинг:
2

Richard Deeming

Убедитесь, что ваш сайт обслуживается только по протоколу HTTPS. (Вы почти наверняка можете использовать бесплатный сертификат от Давайте зашифруем[^].)

Убедитесь, что все ваши аутентификационные файлы cookie имеют установленные флаги "Secure" и "HTTP Only". Если это возможно, установите тот же самый флаг[^] также.

Теперь ваши файлы cookie не могут быть украдены, если только ваш сервер или компьютер пользователя не были серьезно скомпрометированы (в этом случае у вас есть более серьезные проблемы, о которых стоит беспокоиться).

Рейтинг:
1

MadMyche

Не используйте непосредственно информацию о пользователе или логине в файле cookie.

Есть несколько методов, которые вы можете использовать. Вы можете зашифровать информацию с помощью SessionID, а после выхода из системы сделать Сессия.Четкий() команда для сброса идентификатора сеанса и, следовательно, прерывания процесса расшифровки/проверки.

Другой альтернативой было бы назначить уникальный "токен" при входе в систему и сохранить его в сеансе или сохранить в базе данных; а затем проверить то, что отправляется обратно в этот сеанс или БД. После выхода из системы вы удаляете этот "токен" или истекаете его срок действия.

Рейтинг:
0

F-ES Sitecore

Вы мало что можете сделать, чтобы остановить это, решение состоит в том, чтобы в первую очередь остановить кражу файлов cookie.

Вы можете добавить случайный идентификатор в файл cookie и сохранить этот идентификатор для пользователя в базе данных, а когда этот пользователь выйдет из системы, вы можете очистить это значение, а когда он войдет в систему, сгенерировать новый идентификатор. Таким образом, если файлы cookie украдены, у них будет неправильный идентификатор, но если файлы cookie украдены, пока идентификатор все еще действителен, то это решение не поможет. Реализация этих вещей часто приводит к тому, что ваши пользователи заблокировали свои учетные записи, потому что они оставили свой браузер бездействующим, а не вышли из системы.