木马可以复制我网站的 cookies 吗?
Can trojans copy cookies of my website?
我的网站将用户的用户名和 MD5ed 密码保存在 cookie 中以供登录之用。
我的问题是,用户电脑中的特洛伊木马能否窃取该 cookie 并在另一台电脑中使用它?如果可以,什么是记住用户的安全解决方案?
当然可以。
您可以将用户的 IP 混合到 MD5 中,但它仍然不能 100% 保护用户(因为木马可以使用用户的 IP 以及窃取 cookie)。
只要木马使用同一台电脑用户和木马没有区别,理论上是不可能保护的
特洛伊木马可以访问存储在受感染 PC 上的任何文件,包括 cookie。您可以采取的措施来降低风险,即在 cookie 中存储唯一的票证 ID 而不是散列密码,并在服务器上为该票证在服务器上保存一些附加信息 - 浏览器版本、操作系统等,并且只接受如果元数据也匹配,则为票证。也就是说,那样仍然不是绝对安全的。如果您的网络服务真的很重要,您最好每次都询问密码。 (但由于木马可能还安装了键盘记录器,这仍然不足以真正安全...)
木马还可以记录用户在键盘上按下的键,所以这不是你应该担心的事情,因为你对此无能为力。防范恶意软件是用户的责任。
您应该担心的是 man-in-the-middle attacks, the fact that MD5 is not secure and the fact that you should add salt 您的哈希值。
顺便说一句,大多数网站使用 cookie 来存储的不是用户名和密码,而是临时会话 ID。当用户单击 "log out" 按钮时,这些会话 ID 将失效。
我的网站将用户的用户名和 MD5ed 密码保存在 cookie 中以供登录之用。 我的问题是,用户电脑中的特洛伊木马能否窃取该 cookie 并在另一台电脑中使用它?如果可以,什么是记住用户的安全解决方案?
当然可以。
您可以将用户的 IP 混合到 MD5 中,但它仍然不能 100% 保护用户(因为木马可以使用用户的 IP 以及窃取 cookie)。
只要木马使用同一台电脑用户和木马没有区别,理论上是不可能保护的
特洛伊木马可以访问存储在受感染 PC 上的任何文件,包括 cookie。您可以采取的措施来降低风险,即在 cookie 中存储唯一的票证 ID 而不是散列密码,并在服务器上为该票证在服务器上保存一些附加信息 - 浏览器版本、操作系统等,并且只接受如果元数据也匹配,则为票证。也就是说,那样仍然不是绝对安全的。如果您的网络服务真的很重要,您最好每次都询问密码。 (但由于木马可能还安装了键盘记录器,这仍然不足以真正安全...)
木马还可以记录用户在键盘上按下的键,所以这不是你应该担心的事情,因为你对此无能为力。防范恶意软件是用户的责任。
您应该担心的是 man-in-the-middle attacks, the fact that MD5 is not secure and the fact that you should add salt 您的哈希值。
顺便说一句,大多数网站使用 cookie 来存储的不是用户名和密码,而是临时会话 ID。当用户单击 "log out" 按钮时,这些会话 ID 将失效。