paip.提升用户体验与安全性----cookie盗用检测
2012-09-09 22:01
351 查看
paip.提升用户体验与安全性----cookie盗用检测
当机器上的COOKIE被他人盗用时,会造成安全问题..
如果仅仅是单处登录的情况,只需要用最新登录的状态,将其它登录状态COOKIE清除就可以了。。
但如果为了用户体验,充许用户多处登录。。比如用户可以用PC,笔记本,手机三处同时登录...或者在同一台PC上的不同浏览器.
1.COOKIE盗用的检测,绑定IP法..
适用于当普通情况下可绑定IP进行盗用检测..当发现IP变化时,清除COOKIE要求用户重新登录..
登录成功后设置一个COOKIE----iphash,保存的是IPhash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..
if( hash(cgi(ip)+key)== cookie(iphash) )
但此方法不适合于ADSL用户且当用户使用记住密码功能超过一天时.
2.COOKIE盗用的检测,绑定地区.
为了解决ADSL用户的问题,可以使用地区绑定法,当发现IP变化超过地区变化时,清除COOKIE要求用户重新登录。。
登录成功后设置一个COOKIE----areahash,保存的是地区hash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..
areaNew=getArea(cgi(ip))
areaNewHash=hash(areaNew+key)
if( areaNewHash == cookie(areahash) )
3.增加踢掉非法用户功能..
当合法用户登录的时候,可显示当前服务器上此用户的所有会话..当发现非法会话时,可以将其踢下线,清除其COOKIE....在确定踢下线的时候,需要用户输入密码进行验证当前用户身份为真正的用户..
4.事后日志检测
以上几个均为事前或者事中进行的检测..还有一种是事后的监控检测..当用户下一次登录时,提示用户上几次登录的会话状态。。当发现非法的登录成功会话,将其清除..可以做到亡羊补牢的效果..
5.安全控件法.。绑定机器 (安全性最佳)
因为浏览器天生的缺点。。无法实现绑定机器。。所以必须使用安全控件来绑定机器..SWF控件兼容性最好了...主要是绑定本机的CPU,网卡,硬盘串号,BIOS串号等..可以实现比较好的安全性了..
6.绑定UKEY
如果你的站点需要更好的安全性,那么可以绑定UKEY...使用控件..
.
当机器上的COOKIE被他人盗用时,会造成安全问题..
如果仅仅是单处登录的情况,只需要用最新登录的状态,将其它登录状态COOKIE清除就可以了。。
但如果为了用户体验,充许用户多处登录。。比如用户可以用PC,笔记本,手机三处同时登录...或者在同一台PC上的不同浏览器.
1.COOKIE盗用的检测,绑定IP法..
适用于当普通情况下可绑定IP进行盗用检测..当发现IP变化时,清除COOKIE要求用户重新登录..
登录成功后设置一个COOKIE----iphash,保存的是IPhash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..
if( hash(cgi(ip)+key)== cookie(iphash) )
但此方法不适合于ADSL用户且当用户使用记住密码功能超过一天时.
2.COOKIE盗用的检测,绑定地区.
为了解决ADSL用户的问题,可以使用地区绑定法,当发现IP变化超过地区变化时,清除COOKIE要求用户重新登录。。
登录成功后设置一个COOKIE----areahash,保存的是地区hash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..
areaNew=getArea(cgi(ip))
areaNewHash=hash(areaNew+key)
if( areaNewHash == cookie(areahash) )
3.增加踢掉非法用户功能..
当合法用户登录的时候,可显示当前服务器上此用户的所有会话..当发现非法会话时,可以将其踢下线,清除其COOKIE....在确定踢下线的时候,需要用户输入密码进行验证当前用户身份为真正的用户..
4.事后日志检测
以上几个均为事前或者事中进行的检测..还有一种是事后的监控检测..当用户下一次登录时,提示用户上几次登录的会话状态。。当发现非法的登录成功会话,将其清除..可以做到亡羊补牢的效果..
5.安全控件法.。绑定机器 (安全性最佳)
因为浏览器天生的缺点。。无法实现绑定机器。。所以必须使用安全控件来绑定机器..SWF控件兼容性最好了...主要是绑定本机的CPU,网卡,硬盘串号,BIOS串号等..可以实现比较好的安全性了..
6.绑定UKEY
如果你的站点需要更好的安全性,那么可以绑定UKEY...使用控件..
.
相关文章推荐
- paip.提升用户体验与提升安全性----记住密码
- paip.提升用户体验与安全性----登录与权限流程总结
- paip.提升用户体验与安全性---注册流程总结
- paip.提升安全性-------用户口令密码的检测与生成
- paip.提升用户体验---c++ qt 悬浮窗实现
- paip.提升用户体验----gcc c++ JIT-debugging 技术
- paip.提升用户体验---上传文件图片命名
- paip.提升安全性---WEB程序安全检测与防范
- paip.提升安全性--CRSF跨站请求伪造的检测与防范
- paip.提升用户体验---提高兼容性无JS支持总结
- paip.提升用户体验---c++ 悬浮窗体以及右键菜单以及socket接口
- paip.提升安全性--------用户密码控件方案总结
- paip.提升用户体验----记住用户名与自动登录
- paip.提升用户体验--radio图片选择器 easyui 实现..
- paip.提升用户体验----解决浏览器关闭后自动退出的问题
- paip.提升用户体验---WEB程序页面的手机及平板浏览器兼容支持
- paip.提升用户体验---c++ qt 悬浮窗实现
- paip.提升用户体验---防止windows假死之CPU 100%解决
- paip.提升用户体验--提升java的热部署热更新能力
- paip.提升用户体验----表格显示及控件布局错乱的问题