我的网站将用户名和MD5密码保存在Cookie中以供登录。我的问题是,用户PC中的木马能否盗取该Cookie并在另一台PC中使用它?如果可以的话,记住用户的安全解决方案是什么?
特洛伊木马可以访问存储在受感染PC上的任何文件,包括cookie。为减轻风险,您可以做的是在cookie中存储唯一的票证ID而不是哈希密码,并在服务器上为该票证在服务器上保存一些其他信息-浏览器版本,操作系统等,并且仅接受如果元数据也匹配,则添加票证。也就是说,这种方式仍然不是十分安全。如果您的Web服务确实很重要,则最好每次都要求输入密码。(但是由于木马可能还安装了键盘记录程序,因此这仍然不足以确保其真正的安全性...)
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句