[閒聊] 2017.W11 - Cookie vs Session

看板NetSecurity (資安 資訊安全)作者 (請多指教!!)時間7年前 (2017/03/14 23:47), 編輯推噓4(402)
留言6則, 5人參與, 最新討論串1/1
2017.W11 - Cookie vs Session > 就算今天是抱抱星期二 我還是要稱今天是 Pi-Day ## 前言 ## 雖然是老梗 但是還是替大家複習一下 Cookie 跟 Session 的差別 不然下次搞混真的會讓人無言 ## 內容 ## 在提到 Cookie 與 Session 之前 需要先了解一下 HTTP 的架構 HTTP[0] 是一種廣泛使用的網路協定 (如果你透過網頁瀏覽 PTT 那就是在使用 HTTP) 目前最廣泛使用的是用 RFC 2616[1] 的 HTTP/1.1 已經完成的 RFC 7540 (HTTP/2) 則有機會成為新的標準 在 HTTP 的世界當中 請求本身是無狀態的 (stateless) 這表示任意兩個請求之間 本身是沒有關聯 (儲存狀態) 但現在的網路使用中 (排除匿名瀏覽) 網站都可以記錄你上次的 1. 瀏覽紀錄 2. 搜尋結果 3. 登入帳號 4. ... 這就跟 HTTP 的無狀態特性相違背 (?) 而 Cookie 就是處理這個需求的產物 Cookie 是定義在 RFC 2109 的一個實作 本身儲存一個特殊的字串 (有大小限制) 在瀏覽網頁的時候一併送給網頁伺服器 而伺服器會根據當初設計的邏輯做特定的處理 像是 ptt.cc 就會利用 over18 來記錄是否點擊過已滿 18 歲的紀錄 在引入 Cookie 的概念後 HTTP 就有了狀態的特性 但是明眼人一看就會發現問題:這個 Cookie 似乎隨便帶入都可以 假如有一個神奇的程式設計師 (我稱之為 JW) 他設計了一個邏輯 1. 如果請求中沒有 age 則跳出輸入年齡的視窗 2. 如果請求中有 age 這個 Cookie 則顯示 age 的內容 Cookie 本身因為是使用者可控的內容 所以伺服器永遠無法保證這個內容的合法性 這裡的合法性包含了正確性與內容不被修改 所以如果把帳號/密碼資訊 放到 Cookie 當中就是一個 十分好的巧思 另一方面 Session[2] 則是一個 (相對) 用來保證安全的 Cookie 在實務上 Session 跟 Cookie 一樣都放在請求當中 內容當然也可以被使用者控制、修改、竊取 然而 Session 本身在伺服器當中還會做額外的驗證 這裡的驗證可以包涵:來源 IP (REMOTE_ADDRESS)、User Agent [3] 等 而 session 本身並不太帶有任何的敏感資訊 (像是帳號內容 如果沒有額外的巧思...) 相反的 Session 一個跟伺服器端的資料的對應關係 可以想像成: 伺服器已經知道帳號 S 登入了 並且對應到一個 Session ID 是 5538 當只有 IP 位址從 1.2.3.4 的請求 才會做 1-1 的對應 其他的則當作是無效 Session ## 同場加映 ## 有興趣的人 也可以複習一下 Encoding、HASH、Encryption 之間的差異 在工作的時候 真的會有神奇的工程師混用這三者... [0]: https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol [1]: https://tools.ietf.org/html/rfc2616 [2]: https://en.wikipedia.org/wiki/Session_(computer_science) [3]: https://en.wikipedia.org/wiki/User_agent -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1489506440.A.4FC.html

03/15 07:43, , 1F
感謝分享,謝謝
03/15 07:43, 1F

03/16 10:59, , 2F
順帶一提 會有過期機制~
03/16 10:59, 2F

03/18 07:00, , 3F
感謝分享
03/18 07:00, 3F

03/21 16:20, , 4F
希望下次可以分享一些無線網路的安全機制~~感謝大大~
03/21 16:20, 4F

03/21 22:24, , 5F
樓上的意見我收到了... 給我點時間學學
03/21 22:24, 5F

03/21 22:24, , 6F
不然就要看板上出沒的大大分享一下心得了
03/21 22:24, 6F
文章代碼(AID): #1Oo128Jy (NetSecurity)
文章代碼(AID): #1Oo128Jy (NetSecurity)