PTT數位生活區 / Web_Design

[問題] GAE+Python登入系統 及 XSS 問題

看板Web_Design作者 (Summon)時間11年前 (2014/11/24 19:13), 編輯推噓0(0020)
留言20則, 3人參與, 最新討論串1/1
大家好 小弟是web dev新手 目前是用GAE 我已經大致上寫出一個登入系統了 但做法是把使用者的id存在cookie裡並+SECRET、hash 但這代表只要有人拿走cookie變能登入@@ 請問這要怎麼解決呢 應該是跟session有關 但我不怎麼確定怎麼實作 memcache? 況且網頁裡還有summer note的html編輯器 稍微弄一下就被XSS了 這又要如何解決? ----- Sent from JPTT on my Asus ASUS_T00N. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.75.38.27 ※ 文章網址: http://www.ptt.cc/bbs/Web_Design/M.1416827589.A.331.html
11/24 20:59, , 1F
其實無解,頂多是設個timeout,或像google那樣,距離太
11/24 20:59, 1F
11/24 21:00, , 2F
就強制登出 ^^^^^^^ expires 才對
11/24 21:00, 2F
11/24 21:01, , 3F
畢竟根本沒有辦法確認,每一次登入的都是同一個瀏覽器
11/24 21:01, 3F
11/24 21:02, , 4F
因為除了ip外,client來的所有訊息都是可以偽造的
11/24 21:02, 4F
11/24 21:24, , 5F
很簡單 1. 驗證 user agent 跟 ip
11/24 21:24, 5F
11/24 21:24, , 6F
基本上你無法防堵cookie被中間人偷走或偽造
11/24 21:24, 6F
11/24 21:24, , 7F
但你可以設計一些驗證方法來加強防堵
11/24 21:24, 7F
11/24 21:39, , 8F
所以要把ip一起hash進去就是了? 那這樣用浮動ip電
11/24 21:39, 8F
11/24 21:39, , 9F
腦的人。「記住我」的功能是不是就廢了
11/24 21:39, 9F
11/24 22:43, , 10F
這就是代價阿,像巴哈姆特就是session綁ip
11/24 22:43, 10F
11/24 22:43, , 11F
沒有十全十美的方式阿
11/24 22:43, 11F
11/24 22:47, , 12F
就連user-agent都能被js撈到,只要被xss,ip以外的所有
11/24 22:47, 12F
11/24 22:47, , 13F
防堵方式都廢了阿
11/24 22:47, 13F
11/24 22:48, , 14F
所以唯一的辦法就是不要被xss,開https,祈禱user不要
11/24 22:48, 14F
11/24 22:49, , 15F
電腦中毒
11/24 22:49, 15F
11/24 22:50, , 16F
http://goo.gl/sMTxj 雖然有header之類的東西,支援度還
11/24 22:50, 16F
11/24 22:50, , 17F
是個問題
11/24 22:50, 17F
11/24 22:56, , 18F
我現在的寫法是有人在已登入的電腦開F12 看cookie 就
11/24 22:56, 18F
11/24 22:56, , 19F
可以在別台電腦登
11/24 22:56, 19F
11/24 22:56, , 20F
你給的文件我研究研究
11/24 22:56, 20F
更多 cody880528 的文章
文章代碼(AID): #1KSnB5Cn (Web_Design)
Web_Design 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 cody880528 的文章
文章代碼(AID): #1KSnB5Cn (Web_Design)