「記住密碼」功能功能的隱患-Linux-PHP中文網

首頁

系統教程

Linux

「記住密碼」功能功能的隱患

王林

Feb 08, 2024 am 08:33 AM

linuxlinux教程紅帽linux系統linux指令linux認證紅帽linuxlinux視頻

「記住密碼」功能功能的隱患

#這樣，你就可以在所有的裝置和客戶上都可以登錄，而且可以有多個用戶同時登入。這個並不是很安全。以下是一些更安全的方法供你參考：

1 在cookie中，儲存三個東西－使用者名稱，登入序列，登入token。

a）使用者名稱：明文存放。
b）登入序列：一個被MD5散列過的隨機數，僅當強制使用者輸入口令時更新（如：使用者修改了口令）。
c）登入token：一個被MD5散列過的隨機數，僅一個登入session內有效，新的登入session會更新它。

2 上述三個東西會存在伺服器上，伺服器的驗證使用者需要驗證客戶端cookie裡的這三個事。

3 這樣的設計會有什麼樣的效果，會有下面的效果，

a）登入token是單一實例登入。意思就是一個使用者只能有一個登入實例。

b）登入序列是用來做盜用行為偵測的。如果用戶的cookie被偷後，盜用者使用這個cookie造訪網站時，我們的系統以為是合法用戶，然後更新「登入token」，而真正的使用者回來造訪時，系統發現只有「用戶名#中之後與「登入序列一樣使用時「#token#」與「登入序列」相同，但是「#token」上對，這樣的使用者就可能知道了的條件並給予警告使用者係統安全。

4 當然，上述這樣的設計還是會有一些問題

例如：同一用戶的不同裝置登錄，甚至在同一個裝置上使用不同的瀏覽器保登入。一個裝置會讓另一個裝置的登入token和登入序列失效，讓其它裝置和瀏覽器需要重新登入，並會造成cookie被盜用的假象。所以，你在伺服器服還需要考慮- IP 位址，下面牽涉到三個問題。

a) 如果以口令方式登錄，我們無需更新伺服器的「登入序列」和「登入token」（但需要更新cookie）。因為我們認為口令只有真正的使用者知道。

b) 如果 IP相同 ，那麼，我們不需要更新伺服器的「登入序列」和「登入token」（但需要更新cookie）。因為我們認為是同一用戶有相同IP（當然，同一個區域網路裡也有相同IP，但我們認為這個區域網路是用戶可以控制的。網咖內不建議使用此功能）。

c) 如果（IP不同&& 沒有用口令登入），那麼，「登入token」就會在多個IP間發生變化（登入token在兩個或多個ip間被來來回回的變換），當在一定時間內達到一定次數後，系統才會真正覺得被盜用的可能性很高，此時系統在後台清除“登入序列」和「登入token“，讓Cookie失效，強制使用者輸入口令（或是要求使用者更改口令），以確保多台裝置上的cookie一致。

我覺得這是一個不錯的方案，cookies被盜的假象甚至可以「弄巧成拙」地實現——QQ的後來登入用戶擠掉之前的登入用戶這樣的功能。

以上是「記住密碼」功能功能的隱患的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：Linux就该这么学。如有侵權，請聯絡admin@php.cn刪除

Linux操作是什麼？Apr 13, 2025 am 12:20 AM

Linux操作系統的核心是其命令行界面，通過命令行可以執行各種操作。 1.文件和目錄操作使用ls、cd、mkdir、rm等命令管理文件和目錄。 2.用戶和權限管理通過useradd、passwd、chmod等命令確保系統安全和資源分配。 3.進程管理使用ps、kill等命令監控和控制系統進程。 4.網絡操作包括ping、ifconfig、ssh等命令配置和管理網絡連接。 5.系統監控和維護通過top、df、du等命令了解系統運行狀態和資源使用情況。

使用Linux別名提高自定義命令快捷方式的生產率Apr 12, 2025 am 11:43 AM

介紹 Linux是一個強大的操作系統，由於其靈活性和效率，開發人員，系統管理員和電源用戶都喜歡。但是，經常使用長而復雜的命令可能是乏味的

Linux實際上有什麼好處？Apr 12, 2025 am 12:20 AM

Linux適用於服務器、開發環境和嵌入式系統。 1.作為服務器操作系統，Linux穩定高效，常用於部署高並發應用。 2.作為開發環境，Linux提供高效的命令行工具和包管理系統，提升開發效率。 3.在嵌入式系統中，Linux輕量且可定制，適合資源有限的環境。

在Linux上掌握道德黑客的基本工具和框架Apr 11, 2025 am 09:11 AM

簡介：通過基於Linux的道德黑客攻擊數字邊界在我們越來越相互聯繫的世界中，網絡安全至關重要。道德黑客入侵和滲透測試對於主動識別和減輕脆弱性至關重要

如何學習Linux基礎知識？Apr 10, 2025 am 09:32 AM

Linux基礎學習從零開始的方法包括：1.了解文件系統和命令行界面，2.掌握基本命令如ls、cd、mkdir，3.學習文件操作，如創建和編輯文件，4.探索高級用法如管道和grep命令，5.掌握調試技巧和性能優化，6.通過實踐和探索不斷提陞技能。

Linux最有用的是什麼？Apr 09, 2025 am 12:02 AM

Linux在服務器、嵌入式系統和桌面環境中的應用廣泛。 1)在服務器領域，Linux因其穩定性和安全性成為託管網站、數據庫和應用的理想選擇。 2)在嵌入式系統中，Linux因其高度定制性和高效性而受歡迎。 3)在桌面環境中，Linux提供了多種桌面環境，滿足不同用戶需求。

Linux的缺點是什麼？Apr 08, 2025 am 12:01 AM

Linux的缺點包括用戶體驗、軟件兼容性、硬件支持和學習曲線。 1.用戶體驗不如Windows或macOS友好，依賴命令行界面。 2.軟件兼容性不如其他系統，缺乏許多商業軟件的原生版本。 3.硬件支持不如Windows全面，可能需要手動編譯驅動程序。 4.學習曲線較陡峭，掌握命令行操作需要時間和耐心。

Linux難以學習嗎？Apr 07, 2025 am 12:01 AM

Linuxisnothardtolearn,butthedifficultydependsonyourbackgroundandgoals.ForthosewithOSexperience,especiallycommand-linefamiliarity,Linuxisaneasytransition.Beginnersmayfaceasteeperlearningcurvebutcanmanagewithproperresources.Linux'sopen-sourcenature,bas

See all articles