@烟雨
2年前 提问
1个回答

针对不同的Cookie安全问题有哪些解决措施

上官雨宝
2年前

针对不同的Cookie安全问题有如下解决措施:

  • Cookie存储安全:对Cookie采用128位密钥进行3DES/AES算法加密,且密钥只有Portal单方拥有,无需分发,安全强度高。

  • Cookie传输安全:Portal写入Cookie及终端上传Cookie都通过HTTPS安全通道进行,防止Cookie被截获而导致重放攻击。

  • Cookie内容安全:Cookie中不存储用户密码信息,即便被破解,也无法获取用户密码。

  • 用户操作安全:为用户提供便捷的操作,用户可随时选择、取消自动认证服务,在一定程度上可对出现的安全性问题提供有效的应对手段。

  • Cookie复制问题:账号/密码认证优先级高于定期自动认证优先级,若用户发现账号异常,采取账号/密码登录,随时取消或重新选择自动认证服务,使复制Cookie失效;另外,用户以账号密码登录后,此时若该账号已通过自动认证登录,系统自动将后者踢下线;用户在本机选择自动认证服务后,后续在其他机器上网,再次选择该项服务,则视为用户新的选择,同时取消原来选择的服务,复制Cookie则自动失效;当用户上线时,短信提示用户资费信息,通过该方式,用户可及时发现盗用账号的异常,并通过重新选择自动认证服务使复制Cookie失效。

  • Cookie用户紊乱:如果Cookie中的标识采用循环编码,且长度不足,则当用户数严重超出正常访问量时,会导致Cookie循环使用,造成两个用户使用了同一个Cookie。如果缓存Cookie内容,当Cookie缓存机制设计存在Bug时,Cookie之间会出现混淆。这两种情况,都可能导致用户A正常访问时进入用户B的账户,用户隐私被泄漏。应采用设置合理的Cookie长度和禁止Proxy缓存Cookie内容两种方式来应对该问题。