我们有一个网站,它使用 SSL 进行登录/注册,因为我们对使用 SSL 有限制。 所以在登录后它会转到另一个不安全的站点并使用 radnom 生成的 session token 来识别用户交易。
这有多安全?考虑到如果任何嗅探器在实际用户浏览时捕获到 token ,则可以将其用于恶意操作。
还有其他保护用户 session 的想法吗?
提前致谢
最佳答案
如果您使用 session token 通过 HTTP 维护事件 session (一种标准且公认的做法),您很容易受到 session 劫持,任何可以拦截有效流量的人都可以获取该 token 并重新使用它。
如果您想阻止这种情况,您需要通过 SSL/TLS 与用户进行所有交互,因为这样 token 将仅通过加密隧道发送。
如果您做不到,那么您就很脆弱。您可以通过执行诸如将 session token 与 IP 地址相关联之类的操作来引入某种程度的缓解此风险(仅当 session token 由颁发它的同一客户端 IP 地址提供时才接受 session token ),但是您随着 IP 地址的变化,打开一堆蠕虫(例如,想象一个用户登录到您的站点,然后移动无线网络)。
您需要询问此威胁是否严重到足以让您应对。您的应用程序正在处理什么类型的数据?如果它是敏感的,那么您可能需要保护它……如果它是公开的并且您只是使用用户登录来跟踪谁在访问什么,那么也许您不需要。这完全取决于您的风险分析。
关于 OWASP Session Management webpage 还有一些其他想法...但是如果您真的需要解决这个威胁,那么您需要通过 SSL/TLS 进行所有交互。
关于security - SSL 安全登录但非安全资源,这有意义吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9563672/