首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
当我们登陆某个网站时,在登陆的旁边会有一个”记住我” 的复选框,这个登陆时的用户名和密码 就是一种状态,这个记住我是怎么实现的呢?其实就用利用的是cookie,当我们选择了”记住我”以后,浏览器会将用户名保存在浏览器的cookie中,我们下次登陆的时候,就会自动的去找cookie了。
浆糊传说:这种漏洞在非常多的大互联网公司中都出现过。不经历过惨痛的教训,你当各种购物网站中的支付密码是产品经理拍脑袋拍出来的么?
所谓的“记住我”功能的漏洞,本质上来说,就是cookie的漏洞;常见的一些cookie的漏洞:
A:敏感信息没有进行强加密
很多的敏感信息,比如邮箱、密码等,没有进行强加密,比如MD5或者其他方法,很多的时候,我们为了方便,直接使用了一些编码,比如Base64 或者 ASCII,这种做法看起来一般用户在无法直接修改敏感词,但是对攻击者来说,几乎是透明的。
B: 没有标记成HttpOnly属性
存储在Cookie中的密码并没有被标记成HttpOnly属性。缺少了HttpOnly属性或许是一时马虎,但问题的核心在于存储在cookie中的密码会很容易地通过其他途径疏漏出去。
虽然增加了HttpOnly属性也并不见得能够让信息安全多少,但是让攻击者多花费点功夫,也是有价值的;
C:cookie的有效时间
有的网站的cookie将在6个月后到期,与此同时它没有HTTP only的标记,这样一来他们网站的XSS漏洞可以为攻击者提供半年的时间去获取并使用用户的凭证。同样的情况,如果时限为1个月,他们仍会有一些严重的漏洞,但上述攻击的机会实实在在地得到了削减。
所以说一切有关身份验证的cookie如果想要保护好用户凭据的话,HttpOnly的安全属性是和严谨的安全态度必须的。虽然所有经典的劫持威胁仍然存在,不过,解决这些cookie上的问题也是绝不容忽视的。
这个时候其实要考虑的主要问题是:我的信息值钱呢,还是我的时间值钱呢。这是用户考虑问题的方向,但是并不一定是系统所有者考虑的方向!!
因此,作为普通用户,不要看到记住我这个复习课,就去随便勾选下。
一些不用记住我的行业,例如银行,我是不希望别人知道我的账号和密码,还好,银行也是这样想的。
原文地址:http://blog.csdn.net/ffm83/article/details/44153373