卡饭会员用QQ登录后,进行发帖等需要验证的操作时会被抓包吗?

菩提祖师

卡饭会员用QQ登录后,进行发帖等需要验证的操作时会被抓包吗?
比如cookie临时存储的密码之类.

2012年10月14日0:17:43补充:
貌似问太多了,先结贴了,以后有问题再另发帖提问

感谢大家帮助,睡觉去了,大家晚安

2012年10月14日6:26:33补充:
这个帖子等会再锁,标签改好几遍了

2012年10月15日16:18:39补充:
发现一个新问题,还是开贴讨论吧,这个帖子版主看到就锁了吧.

yloko

捉的到包,但捉不到密码,

可以捉到伪造身份验证,,以此实现:在论坛里大量发广告或其它目地(就是前段时期借用人家帐号发布广告的那种现象)

法外制裁者

cookie应该不会用来保存帐户密码，发帖的时候不会再提交用户名和密码，只是用sessionid来区别登录信息

版主登录后台会需要重新填写一遍帐户和密码。

菩提祖师

yloko 发表于 2012-10-13 14:49
捉的到包,但捉不到密码,

可以捉到伪造身份验证,,以此实现:在论坛里大量发广告或其它目地(就是前段时期借 ...

cookie被抓包之后伪造身份,那有什么办法防御?

菩提祖师

法外制裁者 发表于 2012-10-13 14:54
cookie应该不会用来保存帐户密码，发帖的时候不会再提交用户名和密码，只是用sessionid来区别登录信息

版 ...

感谢解答,那有没有办法防止自己的论坛账号被伪造身份呢?

2012年10月13日15:39:01补充:
你说用sessionid来进行身份识别,那如果手动点击右上角的退出,这个sessionid会失效吗?
如果什么都不做,直接强制结束浏览器,清空沙盘之类,这个sessionid会失效吗?

yloko

菩提祖师 发表于 2012-10-13 15:28
cookie被抓包之后伪造身份,那有什么办法防御?

这东西是矛与盾的关系,,

要根治这类问题,还得从物理防火墙,,或者节点下的物理隔断,或者说在广播式分发数据的那断节点下的防御比较可靠和有效,,,

PS:广翻式分发数据,在 从本机到服务器到本机的过程中,,有很多很多阶段都有可能存在,,,,当某一DNS服务器被攻破后,DNS服务器群组之间也可能存在(这种方式有别用单纯的DNS攻击),,

菩提祖师

yloko 发表于 2012-10-13 15:46
这东西是矛与盾的关系,,

要根治这类问题,还得从物理防火墙,,或者节点下的物理隔断,或者说在广播式分发 ...

那么说普通用户是没法自己根治这种问题了?只能服务器端想办法?

另外,如何通知服务器让自己的cookie失效?

yloko

菩提祖师 发表于 2012-10-13 15:50
那么说普通用户是没法自己根治这种问题了?只能服务器端想办法?

另外,如何通知服务器让自己的cookie失效 ...

关与失效的时候,,会有各种设定,,有服务器指派(与服务器所对应的sessionid),有本机设定,有手动清理等等

但有一点,在告诉服务器"退出后"重新登陆的时候,会生成新的cookie与服务器端的sessionid,,,,

如:

名称:        __utma
内容:        59611390.1860320574.1350108698.1350108698.1350113951.2
域:        .bbs.kafan.cn
路径:        /
发送:        各种连接
可访问脚本的 Cookie:        是
已创建:        2012年10月13日星期六下午3:48:03
过期时间:        2014年10月13日星期一下午3:48:03

菩提祖师

yloko 发表于 2012-10-13 15:55
关与失效的时候,,会有各种设定,,有服务器指派(与服务器所对应的sessionid),有本机设定,有手动清理等等
...

那点击"退出"后是不是就相当于"告诉服务器退出"了?
退出后如果没有再次登录,原有sessionid会失效吗?原有cookie还能伪造身份吗?

除了手动点击"退出",本地用SBIE强制清空沙盘的话cookie和sessionid会失效吗?

yloko

菩提祖师 发表于 2012-10-13 16:03
那点击"退出"后是不是就相当于"告诉服务器退出"了?
退出后如果没有再次登录,原有sessionid会失效吗?原有 ...

sessionid会失效,,

cookie会也失效,这个文件就变成残留的无效的缓存文件...