दिलचस्प पोस्ट
क्रोम एक्सटेंशन में क्लिपबोर्ड पर कॉपी करें पायथन में सप्ताह संख्या कैसे प्राप्त करें? स्थूल खोज / फ़िल्टरिंग कैसे डिज़ाइन करें? संदर्भ कॉल द्वारा std :: थ्रेड पास प्रतिलिपि कन्स्ट्रक्टर PHP एप्लिकेशन के लिए प्लगइन्स को अनुमति देने का सर्वोत्तम तरीका एंड्रॉइड ऐप से प्रमाणपत्र फिंगरप्रिंट प्राप्त करें मूल्यों को अल्पविराम के साथ अलग करने के लिए COALESCE फ़ंक्शन का उपयोग करना यूआरएल से index.php कैसे निकालें? सीओआरएस PHP काम नहीं कर रहा है पायथन से जावा कॉलिंग कोको – NSUserDefaults मान अधिसूचना पर अधिसूचना? मैं एक अजाक्स क्वेरी पोस्ट त्रुटि कैसे पकड़ सकता हूं? PHP में, "<<<" क्या दर्शाता है? कपड़े पासवर्ड <Input type = "file"> का उपयोग करते समय फ़ाइल स्वरूप को सीमित करें?

क्या कोई हैकर किसी उपयोगकर्ता से कुकी चुरा सकता है और उस वेबसाइट पर एक वेब साइट पर लॉग इन कर सकता है?

इस सवाल को पढ़ना

विभिन्न उपयोगकर्ताओं को एक ही कुकी मूल्य aspxanonymous में मिलता है

और किसी समाधान की खोज करें, मैं सोचने लगा, अगर किसी के लिए किसी को सचमुच किसी कुकी से चोरी करना संभव हो, और उसके बाद उसे अपने ब्राउजर पर रखें और लॉग-इन से प्रशासक के रूप में कहें

क्या आप जानते हैं कि कैसे फॉर्म प्रमाणीकरण यह सुनिश्चित कर सकता है कि कुकी को मजबूत किया गया हो, लेकिन हैकर वास्तव में इसका प्रयोग नहीं कर रहा है?

या क्या आप किसी अन्य स्वचालित रक्षा तंत्र को जानते हैं?

अग्रिम धन्यवाद।

वेब के समाधान से एकत्रित समाधान "क्या कोई हैकर किसी उपयोगकर्ता से कुकी चुरा सकता है और उस वेबसाइट पर एक वेब साइट पर लॉग इन कर सकता है?"

क्या किसी कुकी को चोरी करना और व्यवस्थापक के रूप में प्रमाणित करना संभव है?

हां, यह संभव है, यदि फॉर्म एथ कुकी एन्क्रिप्ट नहीं हुई है, तो कोई व्यक्ति उन्हें अपनी विशेषाधिकार देने के लिए अपनी कुकी को हुकूमत कर सकता है या यदि SSL की आवश्यकता नहीं है, तो किसी अन्य व्यक्ति की कुकी को कॉपी करें हालांकि, ऐसे कदम हैं जो आप इन जोखिमों को कम करने के लिए ले सकते हैं:

System.web पर / प्रमाणीकरण / फ़ॉर्म तत्व:

  1. requireSSL = सच। इसके लिए यह आवश्यक है कि कुकी केवल SSL पर संचारित हो
  2. slidingExpiration झूठी =। जब सही हो, एक समयसीमा समाप्त हो गई टिकट पुन: सक्रिय किया जा सकता है।
  3. कुकी-= false। एक पर्यावरण में कुककुरा सत्र का उपयोग न करें जहां आप सुरक्षा को लागू करने का प्रयास कर रहे हैं।
  4. enableCrossAppRedirects = false। जब झूठे, सभी क्षुधा पर कुकीज़ का प्रसंस्करण की अनुमति नहीं है
  5. सुरक्षा = सब। Machine.config या web.config में निर्दिष्ट मशीन कुंजी का उपयोग करके फ़ॉर्म एथ कुकी को एन्क्रिप्ट करता है और बना देता है। यह सुविधा किसी को अपनी कुकी को हैकिंग करने से रोक देती है क्योंकि यह सेटिंग सिस्टम को कुकी के हस्ताक्षर उत्पन्न करने और प्रत्येक प्रमाणीकरण अनुरोध पर बताती है, पारित कुकी के साथ हस्ताक्षर की तुलना करें

यदि आप ऐसा चाहते थे, तो सत्र में कुछ प्रकार की प्रमाणीकरण जानकारी जैसे उपयोगकर्ता के उपयोगकर्ता नाम के एक हैश (कभी भी सादे पाठ में यूज़रनेम और न ही उनके पासवर्ड) डालने से आप कुछ सुरक्षा कर सकते हैं। इसके लिए हमलावर को सत्र कुकी और फॉर्म एथ कुकी दोनों को चोरी करने की आवश्यकता होगी।

ऐसी परिदृश्य जहां कुकी चोरी हो सकती है एक सार्वजनिक वायरलेस वातावरण में होती है। जब आप या मैं इस तरह के सेटअप में कभी भी काम नहीं करोगे, तो अपने ग्राहकों को ऐसा करने से रोकना असंभव हो सकता है।

यदि हमलावर जानता है कि आप किस सुरक्षित साइट से कनेक्ट हैं, तो यह विचार यह है कि आपका ब्राउजर उसी यूआरएल के गैर-सुरक्षित संस्करण को पोस्ट करने में धोखा दिया जा सकता है। उस बिंदु पर आपकी कुकी समझौता है।

यही कारण है कि httpOnlyCookies अतिरिक्त आप निर्दिष्ट करना चाहते हैं requireSSL="true"

 <httpCookies httpOnlyCookies="true" requireSSL="true" /> 

मैं द रूक की टिप्पणी से असहमत हूं, इसमें मुझे यह अनुचित लगता है;

@ एटिसोस ने मेरा जवाब अद्यतन किया लेकिन ईमानदार होने के लिए, यदि आपका माइक्रोसॉफ्ट डेवलपमेंट प्लेटफॉर्म का इस्तेमाल करना आपके आवेदन स्वाभाविक रूप से असुरक्षित होगा। – रु 22 मिनट पहले

दुर्घटना से सुरक्षा नहीं होती है और यह "बॉक्स के ठीक बाहर" नहीं होता है, कम से कम मेरे अनुभव में नहीं। प्लेटफार्म या उपकरण की परवाह किए बिना, ऐसा कुछ भी तब तक सुरक्षित नहीं है जब तक कि ऐसा करने के लिए डिज़ाइन नहीं किया गया हो।

बहुत सी मामलों में, प्रमाणीकरण के लिए उपयोग की जाने वाली कुकीज़ सर्वर पर एक सत्र से मेल खाती है, इसलिए कुकी लेने और 'लॉग इन' करने के लिए संभव नहीं है, हालांकि, आप क्रॉस साइट अनुरोध के बारे में पढ़ना चाहते हैं , जो दुर्भावनापूर्ण तरीके से इस कुकी के लिए एक तंत्र की अनुमति देते हैं:

http://en.wikipedia.org/wiki/Cross-site_request_forgery

ऐसे कई तरीके हैं जो किसी आक्रमणकर्ता को एक सत्र आईडी लीक कर सकते हैं। एक सत्र ID को अपहृत करने के लिए एक्सएसएस सबसे अधिक इस्तेमाल किया गया हमला है और आपको अपने एप्लिकेशन में एक्सएसएस भेद्यताओं के लिए परीक्षण करना चाहिए। । एक सत्र की ताकत में सुधार की एक सामान्य विधि आईपी पते की जांच करना है। जब उपयोगकर्ता लॉग इन करता है, तो आईपी पता रिकॉर्ड करें। प्रत्येक अनुरोध के लिए आईपी पते की जांच करें, अगर आईपी बदलता है तो शायद इसकी अपहृत सत्र हो। यह सुरक्षित उपाय वैध अनुरोध को रोक सकता है, लेकिन यह बहुत कम संभावना नहीं है।

एक्स-फॉरवर्ड किए गए- या उपयोगकर्ता-एजेंट की जांच करें, यह हमलावर के लिए इन मूल्यों को संशोधित करने के लिए तुच्छ है।

मैं अपने web.config फ़ाइल में httpOnlyCookies को सक्षम करने का सुझाव भी देता हूं:

 <httpCookies httpOnlyCookies="true"/> 

यह एक हमलावर के लिए जावास्क्रिप्ट के साथ एक सत्र का अपहरण करना कठिन बना देता है, लेकिन इसकी अभी भी संभव है

मैं प्रश्न में कुकी की विशेषताओं को नहीं जानता, लेकिन यह एक उपयोगकर्ता कुकी में उपयोगकर्ता नाम और पासवर्ड दोनों को स्टोर करने के लिए आमतौर पर बुरा व्यवहार है। आप आम तौर पर केवल अन्य गैर संवेदनशील जानकारी के साथ कुकी में उपयोगकर्ता नाम को संग्रहीत करना चाहते हैं। इस तरह उपयोगकर्ता को अपने पासवर्ड को केवल तभी प्रवेश करने के लिए कहा जाता है जब प्रवेश करना।

मैं इस पर काम कर रहा हूं, और मैं एक विचार के साथ आ रहा हूं, मुझे यकीन नहीं है कि यह 100% सुरक्षित है, लेकिन एक विचार है।

मेरा विचार यह है कि हर उपयोगकर्ता को लॉग इन पृष्ठ से पास करना होगा
यदि कोई व्यक्ति कुकी को चुरा लेता है, तो लॉगिन पृष्ठ नहीं पास किया गया है, लेकिन बाकी पृष्ठों के अंदर सीधे जाता है। वह लॉगिन पृष्ठ नहीं दे सकता है, क्योंकि वास्तव में पासवर्ड नहीं पता था, इसलिए यदि वह पास हो तो वह असफल हो जाये।

इसलिए मैं एक अतिरिक्त सत्र मूल्य डालता हूं, कि उपयोगकर्ता लॉगिन पेज पर सफल रहा है। अब हर महत्वपूर्ण पृष्ठ के अंदर, मैं उस अतिरिक्त सत्र का मूल्य जांचता हूं और यदि उसे शून्य मिलता है, तो मैं लॉगिन करता हूं और पासवर्ड के लिए फिर से पूछता हूं।

अब मुझे नहीं पता है, माइक्रोसॉफ्ट द्वारा तैयार किया गया सभी संभवतः सभी इसे जांचना होगा।

इस विचार को जांचने के लिए मैं इस फ़ंक्शन का उपयोग करता हूं जो सीधे उपयोगकर्ता को लॉग इन करता है।

 FormsAuthentication.SetAuthCookie("UserName", false); 

मेरी दूसरी सुरक्षा है कि मैंने सभी को तैयार और उपयोग के लिए तैयार किया है, यह है कि मैं अलग-अलग आईपीएस और या एक ही लॉग इन उपयोगकर्ता से विभिन्न कुकी की जांच करता हूं। मैंने कई लोगों के बारे में सोच भी लिया है, कई जांच (अगर प्रॉक्सी के पीछे है, अगर अलग-अलग देशों से है, क्या दिखता है, मैंने उन्हें कितनी बार देखा है … आदि) लेकिन यह सामान्य विचार है।

यह वीडियो वास्तव में दिखाता है कि मैं क्या रोकना चाहता हूं। मैंने यहां बताई हुई चाल का उपयोग करके, आप केवल लॉगिन कुकी ही सेट नहीं कर सकते।

बस मेरे विचार साझा करना …