当然一切讨论都是在非https情况下的,如果是https,很多问题都不是问题了会员登陆时,我打算参照VBB的方法,即在CLIENT端用JS把md5(md5(password)+salt)计算出来传到服务器进行匹配,每次登陆成功后立即修改salt
这样做的目的是防止发送的密码被监听关于记住登陆,我还没有好的办法,我不清楚在向服务器传递重要COOKIE(比如session id)的时候有没有被监听的可能
目前有一个想法是用数据库保存SESSION,然后再加一个IP地址的验证,也就是说一个会员用某个IP登陆,只有确认是这个IP才能保持他的登陆状态。 我知道有办法可以伪装IP,IP协议不是很熟悉,想知道通过伪装的IP能进行正常的WEB通信吗? (这跟通常的NAT不一样,因为NAT应用里,你要在被伪装的IP机器里做相应的转址才行)
这样做的目的是防止发送的密码被监听关于记住登陆,我还没有好的办法,我不清楚在向服务器传递重要COOKIE(比如session id)的时候有没有被监听的可能
目前有一个想法是用数据库保存SESSION,然后再加一个IP地址的验证,也就是说一个会员用某个IP登陆,只有确认是这个IP才能保持他的登陆状态。 我知道有办法可以伪装IP,IP协议不是很熟悉,想知道通过伪装的IP能进行正常的WEB通信吗? (这跟通常的NAT不一样,因为NAT应用里,你要在被伪装的IP机器里做相应的转址才行)
这样是为了防止什么?
直接HTTPS
安全级别更高就用再加控件或者U盘...