作者RWA (基本上我是个演员)
看板C_Sharp
标题[问题] session存密码安全吗?
时间Thu Apr 15 23:07:36 2010
因为後端需要再做其他验证的问题 所以在session存了密码
想问问在session存密码,这样安全吗?
有没有需要在使用者key完密码後,先将密码加密 再塞到session中 後端再解开来?
(不知道会不会影响效能?!)
请问大家遇到session存密码 都是怎麽去顾虑这一环节?谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 59.115.164.198
1F:→ ssccg:一般不是後端直接用加密过的hash来验证? 04/16 00:04
如果我的密码不是跟资料库的密码作比对 而是要跟其他DLL(非我可管理的)做认证
那就不能用加密过的密码来做验证了
那有没有办法可以做到至少密码在存session时先加密过 後端程式在做解密?
※ 编辑: RWA 来自: 59.115.164.198 (04/16 01:00)
2F:→ chancewen:session太久闲置不是会被清掉吗 04/16 10:50
3F:推 petrushka:一定要放Session,就进行加密吧,有对称式与非对称式加密 04/16 17:57
4F:→ petrushka:两种选择,但会衍生额外的重点就是金钥的保存 04/16 17:58
5F:→ jlovet:session是存在server上面,browser只有session id 04/16 21:26
6F:→ jlovet:当然安全 04/16 21:26
7F:推 petrushka:如果程式有漏洞,藉由漏洞使得记忆体中的Session Data倾 04/16 22:02
8F:→ petrushka:印出来,那Session就不保证是安全的 04/16 22:02
9F:推 petrushka:针对敏感性资料平常还是建立起留心习惯 04/16 22:09
10F:→ petrushka:如果还有其他共同开发者未留心,就会使得敏感性资料暴露 04/16 22:13
11F:→ RWA:谢谢各位 我最後是先加密後再存Session变数 谢谢! 04/16 22:48
12F:推 leicheong:如果你说到记忆体倾印的话, local variable也不安全了.. 04/17 09:01
13F:→ leicheong:用SQL/Session server吧, 会样viewstate一样用sessionID 04/17 09:02
14F:→ leicheong:加密的... 04/17 09:03
15F:推 petrushka:我想提的重点是"always encrypt sensitive data" 04/17 13:54
16F:→ petrushka:至於资料倾印,也有可能是程式设计师的误失导致的 04/17 13:55
17F:→ petrushka:我接触过几个大型专案有session data sharing的情况 04/17 13:55
18F:→ petrushka:对敏感性资料加密,避免软体专案的误失导致资料曝露 04/17 13:57
19F:→ petrushka:不要怕麻烦,反而是要提高程式的安全与品质 04/17 13:58
20F:→ asoedarren:想请教一下 session不是存在server端吗? 为何会在 04/18 01:50
21F:→ asoedarren:client端记忆体中暴露? 04/18 01:51