用于长期会话和会话劫持预防的 Evercookie
Evercookie for longterm sessions and session hijack prevention
我正在实施与特定桌面相关的课堂签到系统。不幸的是,我只有一个面向 public 的网络服务器可以使用并且不希望学生能够复制检查 url 和伪造签到,或者使用员工凭据登录并访问其他工具网站。此外,计算机位于 DHCP 定期重新分配 ip 的网络上,因此固定在 IP 上并不是客户端验证的可靠方法。所以我在考虑 evercookies,我可以让一名工作人员从计算机上登录到登记网站,设置 evercookie 然后注销,以防止使用 lat 登录访问网站上的其他工具。加载签到站点时,它会检查 evercookie,只要满足特定阈值,就会显示签到页面。这具有绕过 php/apache 的会话超时的额外好处。
还是我找错了树,有更好的方法来识别授权客户端?
依赖 evercookie 会让您容易遭受 cookie 劫持。
在你的情况下,有人可以窃取 evercookie id,并从另一台机器上使用它,让你的应用程序相信它正在接收来自某个特定桌面的请求,而实际上它并没有。 evercookie id 可能会被老练的用户直接从机器上窃取。
在这种情况下,使用强 cookie id、强哈希、大量熵等都无济于事。
更改 evercookie 标识符通常会使之前被盗的 cookie 失效。但是,这需要有人手动干预以定期重新生成 cookie。这可以是自动化的,并且可以通过安全连接使用自定义软件将更新的 cookie ID 推送到您的服务器,但这打开了软件被盗并在另一台机器上使用的可能性。
根据经验,依靠客户端来唯一标识自己是不可靠的。
如果您的 IP 地址是通过 DHCP 分配的,但来自一些可预测的集合,您可以根据已知的 IP 范围实施 IP 检查。
您可以在机器上部署自定义软件,并从服务器 "handshake" 部署到它。它可以根据硬盘驱动器序列号、MAC 地址等生成唯一 ID。但是,您的自定义软件可能会被老练的用户窃取并安装在别处,或者进行逆向工程。
我正在实施与特定桌面相关的课堂签到系统。不幸的是,我只有一个面向 public 的网络服务器可以使用并且不希望学生能够复制检查 url 和伪造签到,或者使用员工凭据登录并访问其他工具网站。此外,计算机位于 DHCP 定期重新分配 ip 的网络上,因此固定在 IP 上并不是客户端验证的可靠方法。所以我在考虑 evercookies,我可以让一名工作人员从计算机上登录到登记网站,设置 evercookie 然后注销,以防止使用 lat 登录访问网站上的其他工具。加载签到站点时,它会检查 evercookie,只要满足特定阈值,就会显示签到页面。这具有绕过 php/apache 的会话超时的额外好处。
还是我找错了树,有更好的方法来识别授权客户端?
依赖 evercookie 会让您容易遭受 cookie 劫持。
在你的情况下,有人可以窃取 evercookie id,并从另一台机器上使用它,让你的应用程序相信它正在接收来自某个特定桌面的请求,而实际上它并没有。 evercookie id 可能会被老练的用户直接从机器上窃取。
在这种情况下,使用强 cookie id、强哈希、大量熵等都无济于事。
更改 evercookie 标识符通常会使之前被盗的 cookie 失效。但是,这需要有人手动干预以定期重新生成 cookie。这可以是自动化的,并且可以通过安全连接使用自定义软件将更新的 cookie ID 推送到您的服务器,但这打开了软件被盗并在另一台机器上使用的可能性。
根据经验,依靠客户端来唯一标识自己是不可靠的。
如果您的 IP 地址是通过 DHCP 分配的,但来自一些可预测的集合,您可以根据已知的 IP 范围实施 IP 检查。
您可以在机器上部署自定义软件,并从服务器 "handshake" 部署到它。它可以根据硬盘驱动器序列号、MAC 地址等生成唯一 ID。但是,您的自定义软件可能会被老练的用户窃取并安装在别处,或者进行逆向工程。