我发现手动点击退出后原有cookie还有效?cookie被截包咋办?

菩提祖师

我发现手动点击退出后原有cookie还有效?cookie被截包咋办?

我用把浏览器在沙盘中运行,然后在沙盘中登录了卡饭,然后关闭浏览器,但不清除cookie.

然后把含有cookie的沙盘复制两份,一份再次运行浏览器点击退出,之后另一份沙盘中运行浏览器尝试以原有cookie进行登录,结果成功了?

难道我点击退出后服务器还认原有的sessionid吗?

2012年10月15日20:04:52补充:
我这个问题是针对抓包而言,而不是本地的cookie清除.

yloko

你偿试这样测试.....

在外面手动退出后,,,复制出cookie,,,,

然后在外面,刷新一下或手动登陆,,,

再把前面那份复制出来的cookie复制到沙箱中,,看看还认不认......

估计是我的概念跟不上时代了,,

菩提祖师

yloko 发表于 2012-10-15 18:14
你偿试这样测试.....

在外面手动退出后,,,复制出cookie,,,,

同样可以.

我刚刚测试,找到chrome的"Cookies"文件,然后复制到没有登录卡饭的沙盘中,居然可以登录,就像之前登录然后保存了一样.

但是我没有找到单独提取转移卡饭cookies的方法.

法外制裁者

cookie和session一一对应，相当于钥匙和锁，失去其中一个便没有作用了。

按照严格的应该是退出时都删掉，但删掉其中一个就可以实现功能，所以并非所有程序都会清除所有数据。
另外http(s)都属于短链接，所以session的删除可能会存在延时，例如直接关闭浏览器，直接杀进程，直接断电等各种情况都会造成seesion超时才会失效。

菩提祖师

法外制裁者 发表于 2012-10-15 19:43
cookie和session一一对应，相当于钥匙和锁，失去其中一个便没有作用了。

按照严格的应该是退出时都删掉， ...

问题是,我已经点击论坛网页上的"退出"按钮了,怎么原来的cookie还是有效?服务器还认原来的sessionid?

我点击论坛上的"退出"按钮不是已经告诉服务器当前sessionid立即失效吗?为什么还会有延迟?

2012年10月15日19:59:40补充:
我所做的是手动点击"退出"而不是强制终止浏览器,清空本地cookie.

levibeta

设置推出浏览器时清除cookies。

菩提祖师

levibeta 发表于 2012-10-15 20:02
设置推出浏览器时清除cookies。

我是针对抓包来说的,你能清空抓包者手里的cookie吗?

2012年10月15日20:07:33补充:
按正常的来说,用户手动点击了"退出"之后,服务器应该会收到退出通知,然后让当前sessionid失效才是.
这样就算cookie被抓包,只要用户退出后,抓包者也无法用抓到的cookie来伪造用户身份,只能是在用户使用时进行伪造.

法外制裁者

菩提祖师 发表于 2012-10-15 19:56
问题是,我已经点击论坛网页上的"退出"按钮了,怎么原来的cookie还是有效?服务器还认原来的sessionid?

...

如果服务器代码严格来写应该是这样的，不过从实验结果来看，DZ没有清除session而是删除了cookie从而实现了退出。
你可以把这个问题提交给DZ官方，不过我觉得一般不太会重视这个问题。

原因是，cookie也是非常难伪造的，cookie的内容因不同的web程序而不一样。最主要的是，如果用户本机cookie被其他程序获取，则可以认为用户电脑已经遭到入侵，这么一来环境已经是不安全的了。http是互联网的一种数据传输方式而已，不能依靠它来防范所有攻击。

levibeta

菩提祖师 发表于 2012-10-15 20:04
我是针对抓包来说的,你能清空抓包者手里的cookie吗?

人家一定要抓包对付你的话，你是躲不了的。未加密的数据包都是明文传输的，看看“墙”先入侵检测然后TCP会话重置攻击的手段那么干净利落，你就应该明白在网上是没有秘密的（除非将数据包加密）。

菩提祖师

levibeta 发表于 2012-10-15 20:09
人家一定要抓包对付你的话，你是躲不了的。未加密的数据包都是明文传输的，看看“墙”先入侵检测然后TCP会 ...

前半部分理解,针对我的话,数据包不加密我没办法.
我只是在尽可能想办法在服务器不采取加密的情况下,客户端能采取什么方法增加有限的安全性.

不过你后半句,听不懂,求科普,"墙"先入侵检测?什么意思?重置攻击是什么?重放攻击吗?