La valeur de session peut-elle être piratée?
Quand je suis sorti d'un site sans se déconnecter, la prochaine fois je accéder à ce site, j'ai trouvé, je suis connecté là? Comment ce serveur restaurer la valeur de session pour mon navigateur? Est-il une chance d'être piraté dans ce processus? Peut qui a restauré session de la valeur volés par d'autres? s'il vous plaît partagez votre concept à ce sujet.
merci d'avance
source d'informationauteur Masud Rahman
Vous devez vous connecter pour publier un commentaire.
Dans toutes les technologies, je suis conscient de la web-session, les valeurs sont stockées sur le serveur distant. Donc, pour pirater votre session valeurs nécessiterait de piratage du serveur-distant. Ce que vous rencontrez est le fait que votre identifiant de session est stocké dans un cookie (un cookie de session), de sorte que lorsque vous ouvrez votre navigateur, le cookie est utilisé pour vous identifier et de fournir l'accès à votre session à distance. Normalement, les cookies de session ont une courte durée de vie (time to live) avant la date d'expiration et le journal, mais si non, alors explicitement la journalisation doit l'effacer. Si vous êtes vraiment inquiet, vous pouvez supprimer vos cookies.
Ce que vous voyez est le résultat d'un cookie stocké par votre navigateur pour s'accrocher à cette session d'information. Peut-il être piraté? Dépend du site/application, mais pas plus que ça pouvait être si vous n'avez pas fermé votre navigateur.
Selon que le serveur vérifie l'adresse IP d'essayer d'utiliser le jeton (probablement un cookie, mais n'a pas à l'être) à l'encontre de celui qui connecté, il peut être possible pour un voleur d'utiliser ce cookie pour accéder à votre compte.
Un site bien conçu ne sera pas seulement causer des sessions à temps -, mais aussi de les restreindre à une seule adresse IP (et le navigateur de l'utilisateur-agent, etc).
Comme d'autres l'ont noté, c'est le cookie sur votre machine.
La façon de "hack" ce serait pour avoir accès à votre machine, puis de prendre une copie du cookie. Ou de prendre une copie du cookie alors qu'il est envoyé au navigateur.
Pour s'en prémunir, vous pouvez:
Verrouillage d'une session à une seule adresse ip, peuvent causer des problèmes, si vos utilisateurs sont à venir à partir d'un réseau avec 2 serveurs proxy.
Elle utilise des cookies, une chaîne de caractères de votre navigateur conserve sur le nom du site, que ce soit pour un délai déterminé, ou jusqu'à ce que vous fermez votre navigateur.
Journal si c'est un sujet de préoccupation. De toute évidence, si quelqu'un d'autre utilise le même ordinateur peu de temps après vous qu'ils seraient en mesure d'utiliser le site connecté en tant que vous. Toujours explicitement journal de public accessible ordinateurs.
vous auriez à renifler son trafic et volé son des cookies. Alors si il n'a pas de journal, (si le serveur n'invalide les cookies), vous pouvez vous connecter avec eux
Le cookie est généralement un identifiant de session qui se connecte à une session de base de données sur le serveur du site internet; cependant, il y a quelques cookies, où la plupart des détails sont dans le stockage local et sont normalement accessibles par le biais de JavaScript ou d'une clé d'identification sur le serveur. La plupart des cookies ne peuvent pas être piraté, parce que vous auriez besoin de déchiffrer le cookie à l'aide d'une clé qui est normalement sur le serveur et ensuite accéder à distance à la session de base de données.