作者RWA (基本上我是個演員)
看板C_Sharp
標題[問題] session存密碼安全嗎?
時間Thu Apr 15 23:07:36 2010
因為後端需要再做其他驗證的問題 所以在session存了密碼
想問問在session存密碼,這樣安全嗎?
有沒有需要在使用者key完密碼後,先將密碼加密 再塞到session中 後端再解開來?
(不知道會不會影響效能?!)
請問大家遇到session存密碼 都是怎麼去顧慮這一環節?謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.115.164.198
1F:→ ssccg:一般不是後端直接用加密過的hash來驗證? 04/16 00:04
如果我的密碼不是跟資料庫的密碼作比對 而是要跟其他DLL(非我可管理的)做認證
那就不能用加密過的密碼來做驗證了
那有沒有辦法可以做到至少密碼在存session時先加密過 後端程式在做解密?
※ 編輯: RWA 來自: 59.115.164.198 (04/16 01:00)
2F:→ chancewen:session太久閒置不是會被清掉嗎 04/16 10:50
3F:推 petrushka:一定要放Session,就進行加密吧,有對稱式與非對稱式加密 04/16 17:57
4F:→ petrushka:兩種選擇,但會衍生額外的重點就是金鑰的保存 04/16 17:58
5F:→ jlovet:session是存在server上面,browser只有session id 04/16 21:26
6F:→ jlovet:當然安全 04/16 21:26
7F:推 petrushka:如果程式有漏洞,藉由漏洞使得記憶體中的Session Data傾 04/16 22:02
8F:→ petrushka:印出來,那Session就不保證是安全的 04/16 22:02
9F:推 petrushka:針對敏感性資料平常還是建立起留心習慣 04/16 22:09
10F:→ petrushka:如果還有其他共同開發者未留心,就會使得敏感性資料暴露 04/16 22:13
11F:→ RWA:謝謝各位 我最後是先加密後再存Session變數 謝謝! 04/16 22:48
12F:推 leicheong:如果你說到記憶體傾印的話, local variable也不安全了.. 04/17 09:01
13F:→ leicheong:用SQL/Session server吧, 會樣viewstate一樣用sessionID 04/17 09:02
14F:→ leicheong:加密的... 04/17 09:03
15F:推 petrushka:我想提的重點是"always encrypt sensitive data" 04/17 13:54
16F:→ petrushka:至於資料傾印,也有可能是程式設計師的誤失導致的 04/17 13:55
17F:→ petrushka:我接觸過幾個大型專案有session data sharing的情況 04/17 13:55
18F:→ petrushka:對敏感性資料加密,避免軟體專案的誤失導致資料曝露 04/17 13:57
19F:→ petrushka:不要怕麻煩,反而是要提高程式的安全與品質 04/17 13:58
20F:→ asoedarren:想請教一下 session不是存在server端嗎? 為何會在 04/18 01:50
21F:→ asoedarren:client端記憶體中暴露? 04/18 01:51