我发现手动点击退出后原有cookie还有效?cookie被截包咋办?

菩提祖师

法外制裁者 发表于 2012-10-15 20:08
如果服务器代码严格来写应该是这样的，不过从实验结果来看，DZ没有清除session而是删除了cookie从而实现了 ...

你的意思是cookie的内容会因为浏览器程序不同而不同?

抓包之后应该可以分析cookie是由什么浏览器产生的吧?你说的不同程序是指外壳还是指浏览器内核?要是内核的话,主流浏览器就几种,很好判断的吧?

如果是外壳,就像360极速浏览器,搜狗浏览器,百度浏览器之类,也不同,那确实就不好判断了,呵呵.

levibeta

菩提祖师 发表于 2012-10-15 20:16
前半部分理解,针对我的话,数据包不加密我没办法.
我只是在尽可能想办法在服务器不采取加密的情况下,客户 ...

搞加密传输才是正道，单靠客户端采取办法作用不大。

关于后半句，你在上网的时候（比如用google搜索的时候）没有碰到过“连接被重置”的情况么。你就没琢磨过这是如何实现的么。

菩提祖师

levibeta 发表于 2012-10-15 20:22
搞加密传输才是正道，单靠客户端采取办法作用不大。

关于后半句，你在上网的时候（比如用google搜索的 ...

我只碰到过链接切断,重置貌似还真没碰到过.

难道你说的重置是重置成无效地址?以此来实现切断?

2012年10月15日20:25:29补充:
这个和伪造身份有关系吗?

2012年10月15日20:27:49补充:
懂了,这不是伪造客户端,而是伪造服务端.

法外制裁者

菩提祖师 发表于 2012-10-15 20:19
你的意思是cookie的内容会因为浏览器程序不同而不同?

抓包之后应该可以分析cookie是由什么浏览器产生的 ...

不是 cookie因不同的web程序不同而不同，例如你访问卡饭、访问金山、淘宝所产生的cookie不同，而且连格式都是不同的。所以攻击者必须针对性攻击一种程序，这样概率就会大大下降。很多黑客更愿意攻击浏览器漏洞，例如IE内核的漏洞，这样无论访问哪个网站，都有可能被这个漏洞攻击，而不是仅仅访问一个站点，当然也不是说就一定没人这么干。

进一步了解，cookie是一组数据，而不是一个数据。提交时，一般不会将cookie的所有数据都提交上来。例如用cookie中的一个数据进行签名算法，但这个数据本身不会被提交。抓包抓到的有限cookie数据是否能够进行伪造身份，这个要详细看DZ代码才知道，我也不知道可以不可以。

退一步讲，抓包可以用来类似的攻击，DZ官方也会根据需要来判断是否是一个安全漏洞。抓包要求必须控制和服务器所在同一局域网内的主机，这个又是环境安全了。权衡利弊之后，可能会给出你使用https的建议；修复这个漏洞；也有可能他们认为论坛数据无足轻重，不值得如此严密的防范；或者建议你提高环境安全等等。

levibeta

菩提祖师 发表于 2012-10-15 20:24
我只碰到过链接切断,重置貌似还真没碰到过.

难道你说的重置是重置成无效地址?以此来实现切断?

访问某些网站时会出现这样的情况：




客户端与服务器的TCP会话被人为重置。有兴趣的话可以研究一下它的实现原理。

菩提祖师

levibeta 发表于 2012-10-15 20:34
访问某些网站时会出现这样的情况：

呃...你用的是什么浏览器?我貌似都是"此连接不可用"之类.

levibeta

菩提祖师 发表于 2012-10-15 20:46
呃...你用的是什么浏览器?我貌似都是"此连接不可用"之类.

不同浏览器显示有所不同，但情况是一样的，原理也是一样的。

菩提祖师

法外制裁者 发表于 2012-10-15 20:31
不是 cookie因不同的web程序不同而不同，例如你访问卡饭、访问金山、淘宝所产生的cookie不同，而且连格式 ...

那从客户端(论坛会员)角度,你有什么能最大可能有限提升安全性的办法?
目前想到的办法就是直接密码登录换成QQ绑定登录,还有其它的吗?
我是16位随机密码,所以感觉安全提问是没有必要的,而且安全提问同样可以被明文截获.

法外制裁者

菩提祖师 发表于 2012-10-15 20:59
那从客户端(论坛会员)角度,你有什么能最大可能有限提升安全性的办法?
目前想到的办法就是直接密码登录 ...

QQ登录以后虽然服务器不会接收到帐户密码，但是依旧会产生session和cookie，所以也会有你所说的问题。

只能期待越做越好，但这肯定需要时间。目前DZ X系列没有https，可能将来会开发出来。

其实可以换个角度想想，如果有一天帐户被盗了，会怎么样？
拿我自己来说，我有CSDN的帐户，而且那次事件之后我的帐号也被盗了不少。不过现在工作原因，我还是继续使用CSDN。当然有些网站被盗了，我可能就不会再去访问了。但是像论坛这类没有涉及金钱，也没有像QQ这样有各种联系方式比较重要，所以我个人不太在意。

如果我认为淘宝的不安全对我来说无法承受，那我就不会去用淘宝。其实可以发现淘宝的不安全根本不在IT技术方面，而是人为的社工、陷阱等等。

菩提祖师

法外制裁者 发表于 2012-10-15 21:44
QQ登录以后虽然服务器不会接收到帐户密码，但是依旧会产生session和cookie，所以也会有你所说的问题。

...

QQ登录的主要用途就是避免账户密码泄露.
sessionid和cookie虽然可以伪造用户身份,但不能被用来进行改密码之类的重要操作.
所以QQ登录虽然效果微弱,但也不能说没用.

我之所以这么重视卡饭账号是因为感觉卡饭账号来之不易,所以要珍惜.

关于暴库和社工导致不相关网站账号被盗,这个就需要密码管理软件解决了.