stay-logged-in

___ qstnhdr ___ Angemeldete Best Practices: Wie sorgt ein Benutzername im Cookie für mehr Sicherheit? ___ qstntxt ___

Dies ist ein Zweig einer anderen Frage: Was ist der beste Weg zu implementieren? Erinnere dich an mich "für eine Website?

Die beste Antwort lautet: Ссылка

Eine Zusammenfassung:

  

Verwenden Sie eine Zufallszahl als Serien-Token und eine andere als Login-Token.   Legen Sie diese zusammen mit dem Nutzernamen in den Cookie "Angemeldet bleiben".   Weisen Sie einen zweiten, normalen Session-Cookie zu. Jedes Mal, wenn ein Benutzer ankommt   Ohne einen Session-Cookie konsumieren Sie den Cookie Angemeldet bleiben. Ausgabe a   Neues, dieses Mal mit einem neuen zufälligen Login Token, der die Serie hält   Token das gleiche.

Warum sollte der Benutzername hinzugefügt werden? Wie hilft das? Das Series Token sollte ausreichen, um den Benutzer und die Serie zu identifizieren. Das Series Token wurde in diesem Ansatz hinzugefügt, um eine DoS-Attacke zu verhindern, bei der ein Angreifer nur alle Benutzernamen erraten und die Site auf einmal antrifft und alle anderen abmeldet. Aber warum macht es Sinn den Benutzernamen überhaupt zu lassen?

    
___ tag123sessioncookies ___ Sitzungscookies ermöglichen es einem Server und einem Browser, eine identifizierte Verbindung (über Cookies) herzustellen und zu kommunizieren. ___ tag123staylogedin ___ hilf uns dieses Wiki zu bearbeiten ___ answer33433084 ___

Meine Vermutung:

Der Benutzername dient zur Überprüfung. Wenn Sie möchten, dass der Client sie zusammen mit dem Token zur Authentifizierung sendet, wissen Sie, welcher Benutzer versucht, sich zu authentifizieren. Damit können Sie auf eine vernünftige Art reagieren, dass das Token falsch ist.

Wenn Sie während auth nur nach dem Token fragen, dann wissen Sie nicht, welcher Benutzer es tatsächlich versucht, und bei einer Übereinstimmung gewähren Sie jemandem nur Zugriff, können aber nichts bei fehlschlagen. Jemand kann einfach versuchen, blind über sie hinwegzugehen.

In diesem Sinne sagen wir, dass wir uns sowohl mit dem Benutzernamen als auch mit dem Token begnügen. Wenn das Token falsch ist, können wir alle anderen Tokens für diesen Benutzer entfernen. Aber das öffnet das System für DOS. Angreifer kann jeden nach Belieben ausloggen. Also für diese Serie wird hinzugefügt.

Es muss kein Benutzername sein, einige andere Informationen, die es erlauben, den Benutzer zu identifizieren, werden auch funktionieren.

    
___ answer10957613 ___

Der Benutzername und die Nummer werden vor der Ausgabe eines neuen Sitzungscookies als Paar auf dem Server nachgeschlagen. Ohne den Benutzernamen wäre es weniger sicher (könnte mit einem anderen Benutzer abgespielt werden, wenn Sie die Nummer gestohlen haben) und schwieriger zu suchen.

    
___
2
Antworten

Angemeldete Best Practices: Wie sorgt ein Benutzername im Cookie für mehr Sicherheit?

Dies ist ein Zweig einer anderen Frage: Was ist der beste Weg zu implementieren? Erinnere dich an mich "für eine Website? Die beste Antwort lautet: Ссылка Eine Zusammenfassung:    Verwenden Sie eine Zufallszahl als Serien-Token und...
09.06.2012, 00:58