paip.提升用户体验与安全性----cookie盗用检测

paip.提升用户体验与安全性----cookie盗用检测

当机器上的COOKIE被他人盗用时，会造成安全问题..

如果仅仅是单处登录的情况,只需要用最新登录的状态，将其它登录状态COOKIE清除就可以了。。

但如果为了用户体验，充许用户多处登录。。比如用户可以用PC，笔记本，手机三处同时登录...或者在同一台PC上的不同浏览器.

1.COOKIE盗用的检测，绑定IP法..



适用于当普通情况下可绑定IP进行盗用检测..当发现IP变化时，清除COOKIE要求用户重新登录..

登录成功后设置一个COOKIE----iphash,保存的是IPhash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..

if( hash(cgi(ip)+key)== cookie(iphash) )

但此方法不适合于ADSL用户且当用户使用记住密码功能超过一天时.

2.COOKIE盗用的检测，绑定地区.

为了解决ADSL用户的问题,可以使用地区绑定法，当发现IP变化超过地区变化时，清除COOKIE要求用户重新登录。。

登录成功后设置一个COOKIE----areahash,保存的是地区hash值。。当检测用户登录状态时,与CGI参数传进来的IP进行对比..

areaNew=getArea(cgi(ip))

areaNewHash=hash(areaNew+key)

if( areaNewHash == cookie(areahash) )

3.增加踢掉非法用户功能..

当合法用户登录的时候,可显示当前服务器上此用户的所有会话..当发现非法会话时，可以将其踢下线，清除其COOKIE....在确定踢下线的时候，需要用户输入密码进行验证当前用户身份为真正的用户..

4.事后日志检测

以上几个均为事前或者事中进行的检测..还有一种是事后的监控检测..当用户下一次登录时，提示用户上几次登录的会话状态。。当发现非法的登录成功会话，将其清除..可以做到亡羊补牢的效果..

5.安全控件法.。绑定机器 (安全性最佳)

因为浏览器天生的缺点。。无法实现绑定机器。。所以必须使用安全控件来绑定机器..SWF控件兼容性最好了...主要是绑定本机的CPU,网卡，硬盘串号,BIOS串号等..可以实现比较好的安全性了..

6.绑定UKEY

如果你的站点需要更好的安全性，那么可以绑定UKEY...使用控件..

.