初始想法:在文章"改进持久的登录cookie最佳实践"中(http://jaspan.com/imprevan.com/impreved_persistent_login_login_cookie_best_best_practice)通过创建一个系列标识符来捕获可能的cookie小偷,如果两个计算机尝试使用相同的系列标识符,则在螺母外壳中标记可能的安全问题。
问题:,作为"基于表单的网站身份验证的确定指南",第1部分,第1部分,正确地指出,这很容易被黑客击败,仅在复制后删除用户的cookie它是为了自己。由于这篇文章很受欢迎,因此任何有足够专业知识的人都可能知道删除旧的cookie。
问题:是否有解决问题的解决方案?能够检测饼干盗窃的好处(即使不是立即)对于持续的登录安全性非常有价值。有没有更好的方法来防止或检测Cookie盗窃?
您应该仅使用ssl Connections(https),如果使用cookie,则需要使用flag secure(仅使用SSL避免使用SSL避免冲浪式凸出攻击),也使用flag httponly(对于避免XSS,浏览器不会将其提供给JavaScript),因为您使用了通信加密,因此攻击者无法解密并修改(删除cookie)。
我个人的看法是,"改善持续的登录cookie最佳实践"仍然更好。攻击者并非总是能访问用户浏览器在窃取时删除cookie的情况。例如,结合攻击者从服务器端日志获取cookie的情况。