大多数Web应用程序使用cookie来管理用户的会话,并允许您在浏览器关闭时保持登录。
让我们假设我们已经按照规定做了所有的事情,以确保cookie本身是安全的。
- 加密内容
- 设置仅http
- 设置安全 ssl用于连接我们检查cookie的内容是否被篡改
防止这种情况发生是没有意义的。如果发生这种复制,则:
- 终端用户故意这么做,因为他们想换电脑。当然,这不是你应该关心或关心的事情。
- 攻击者已经入侵了用户的浏览器,并获得了存储在其中的cookie的访问权限。根据定义,这个cookie是一个秘密,用来证明HTTP客户端的身份。如果攻击者已经访问了它,他们已经可以以他们选择的任意数量的方式使用它,您将无法阻止或区分真实用户合法访问服务器。
这种风险是使用cookie对会话进行身份验证所固有的:cookie是承载令牌,任何可以提供cookie的人都被身份验证。
这就是为什么你会看到进一步的保护,如:
- 在一段时间或一段时间不活动后自动注销;
- 设备指纹;
- 要求对关键操作(例如进行银行转账或更改密码)进行重新认证。