100分求高手指点,参与讨论:关于会员系统的安全性

1,会员登录后,用户名和密码用Cookies怎么保存在客户端才安全?是只保存用户名,还是用户名和密码都保存?
2,当会员登录后进行如修改资料这些操作时,是否要在数据库中重新认证一次用户名和密码是否正确,才进行数据库操作?
3,如何有效防止Cookies盗用?谢谢大家指点,讨论...

解决方案 »

  1.   

    1、密码最好不存在客户端,你只要在客户端存标识,比如UserId,像密码之类的敏感信息即使加密也不建议存在客户端。2、当用户作重要资料修改时,比如修改密码,通常还是要做一次验证的。试想某非法用户即使获取了客户端Cookie中的UserId登陆了系统,但他没有原始密码仍然无法完全控件该账号的。3、我通常的做法是DES加密,但如果是很重要的会员系统更多还是使用Session。
      

  2.   

    对Cookie中的内容加密通常毫无作用。因为盗用者根本不需要解密。例如网吧中的机器上的cookie没有及时清除,后来者直接享用。在偷盗时(例如放一个密码动态收集各种密码和cookie文件)通常也不用解密就能直接使用。
      

  3.   

    例如放一个密码动态收集各种密码和cookie文件  --> 例如放一个木马收集各种密码和cookie文件
      

  4.   

    用session而且用MD5加密,什么问题都解决了 。爽就一个字。
      

  5.   

    有些页面是只能会员查看,
    都是在网页的 Page_Load()事件里进行验证吗(如果不合法则转到登录网页)?
    这样有没有什么安全后患?
    还是有其它方法?
      

  6.   

    有些页面是只能会员查看,
    都是在网页的 Page_Load()事件里进行验证吗(如果不合法则转到登录网页)?
    这样有没有什么安全后患?
    还是有其它方法?