| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 1221 人关注过本帖
标题:[经验]渚薰的ASP畅谈(四)Cookie的取舍☆☆
只看楼主 加入收藏
渚薰
Rank: 6Rank: 6
等 级:贵宾
威 望:22
帖 子:1132
专家分:0
注 册:2006-8-6
收藏
 问题点数:0 回复次数:4 
[经验]渚薰的ASP畅谈(四)Cookie的取舍☆☆
  • Cookies的安全性能一直是倍受争议的。虽然Cookies是保存在本机上的,但是其信息的完全可见性且易于本地编辑性,往往可以引起很多的安全问题。所以Cookies到底该不该用,到底该怎样用,就有了一个需要给定的底线。
  • 先来看看,网站的敏感数据有哪些。
    1. 登陆验证信息。一般采用Session("Logon")=true or false的形式。
    2. 用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里
    3. 需要在页面间传递的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更新到数据库。
    4. 当然还会有很多,这里列举一些比较典型的
  • 假如,一个人孤僻到不想碰Session,因为他认为,如果用户万一不小心关闭了浏览器,那么之前保存的数据就全部丢失了。所以,他出于好意,决定把这些用Session的地方,都改成用Cookies来存储,这完全是可行的,且基本操作和用Session一模一样。那么,下面就针对以上的3个典型例子,做一个分析
    1. 很显然,只要某个有意非法入侵者,知道该网站验证登陆信息的Session变量是什么,那么他就可以事先编辑好该Cookies,放入到Cookies目录中,这样就可以顺利通过验证了。这是不是很可怕?
    2. Cookies完全是可见的,即使程序员设定了Cookies的生存周期(比如只在用户会话有效期内有效),它也是不安全的。假设,用户忘了关浏览器 或者一个恶意者硬性把用户给打晕,那用户的损失将是巨大的。
    3. 这点如上点一样,很容易被它人窃取重要的私人信息。但,其还有一个问题所在是,可能这些数据信息量太大,而使得Cookies的文件大小剧增。这可不是用户希望所看到的。
  • 显然,Cookies并不是那么一块好啃的小甜饼。但,Cookies的存在,当然有其原因。它给予程序员更多发挥编程才能的空间。所以,使用Cookies改有个底线。这个底线一般来说,遵循以下原则。
    1. 不要保存私人信息。
    2. 任何重要数据,最好通过加密形式来保存数据(最简单的可以用URLEncode,当然也可以用完善的可逆加密方式,遗憾的是,最好不要用md5来加密)。
    3. 是否保存登陆信息,需有用户自行选择。
    4. 长于10K的数据,不要用到Cookies。
    5. 也不要用Cookies来玩点让客户惊喜的小游戏。

[此贴子已经被作者于2006-8-9 22:21:45编辑过]

搜索更多相关主题的帖子: Cookie ASP 经验 畅谈 
2006-08-08 22:13
小狮兄
Rank: 1
等 级:新手上路
帖 子:18
专家分:0
注 册:2006-8-1
收藏
得分:0 
三和四一样的。。。。。
2006-08-09 03:55
竹笛悠悠
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2005-10-19
收藏
得分:0 
楼主。发错了。

o┈网事本如风┄o
o┈恍如烟雨中┄o
2006-08-09 10:07
神州游侠
Rank: 1
等 级:新手上路
帖 子:56
专家分:0
注 册:2006-5-20
收藏
得分:0 
收集中。。。

2007-01-02 00:46
luckjun
Rank: 1
等 级:新手上路
帖 子:1
专家分:0
注 册:2008-5-26
收藏
得分:0 
xuexi
2008-05-26 10:56
快速回复:[经验]渚薰的ASP畅谈(四)Cookie的取舍☆☆
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.027888 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved