都说Cookie不安全,我用临时Cookie,也有人说不安全。到底怎么不安全了呢?谢谢。

我现在是把它用在网站后台,登陆时保存Cookie,不添加保存日期,网页关闭之后自动清除掉,这就是临时Cookie了吧。有人说不安全。对。Cookie文件是可以被修改,这也就是很多人说的不安全了吧。
但是你想想,你在电脑上进入管理后台,操作完之后关掉网页,Cookie文件就不存在了。你说可以被修改,难道是在你操作过程中去厕所,然后别人用你电脑打开Cookie文件,获取到账号密码信息?
其一,太不现实。其二,Cookie内容也可以加密的。如果说用户清除Cookie之后就丢失了,我感觉这是强词夺理,用户把电源插头拔掉Session也会丢失呢。所以我不认为使用临时Cookie存在不安全隐患。
实在想不通,请高手赐教,为什么老说只要是 Cookie 就是不安全的呢?

解决方案 »

  1.   

    你不把页面关了 不就可以到临时文件夹里去看了吗其使用Cookie 也没问题你把数据加密不就好了重要数据不加密用什么都不安全
      

  2.   


    “你不把页面关了 不就可以到临时文件夹里去看了吗” ,这意思,不安全隐患,指的是自己?自己盗窃自己的账号密码信息?
    “其使用Cookie 也没问题你把数据加密不就好了” 嗯。是啊。但是为什么老有人一直非要说Cookie不安全呢?
      

  3.   

    中木马后,这些Cookie 会直接传到黑客邮箱的
      

  4.   


    加密之后呢?得到Cookie文件有什么用?
      

  5.   

    如果不制定跨会话保存cookie,那么根本不会生成所谓的cookie文件,而是仅仅保存在进程的内存数据中。
      

  6.   


    真是郁闷,嗯,对的。谢谢大哥指点。我更理直气壮了,对嘛,根本就不会生成 cookie 文件,何来的不安全呢?!
      

  7.   

    所以少在cookie中写简单的信息   -->  所以少在cookie中写任何有明确业务意义的信息对于asp.net来说,它会自动在cookie中保存一个sessionid,这就足够了。与此sessionid有关的信息,可以在应用程序的Session集合中找到,或者(如果考虑到Session集合经常丢失)在数据库、Cache中找到这些对应信息。
      

  8.   

    做通讯的人,可能需要几分钟就能读懂如何发送ARP欺骗的消息,然后就能读到同一网段上同事们上网时跟服务器之间交互的信息。如果用个程序把得到的数据经常过滤一下,例如专门查找访问某个网页时的有意义的cookie,这就好像免费顾个人每天把别人家里的所有废纸都收集起来分析一样,说不定就能够收集不少同时们的私人信息。
      

  9.   

    http://www.hackbase.com/tech/2005-08-04/31145.html