ほとんどのWebアプリケーションは、ユーザーのセッションを管理するためにCookieを使用し、ブラウザが閉じられてもログインしたままにすることができます。マシンからクッキーを単にコピーするだけで、セッションハイジャックを防ぐ方法を教えてください。
私たちは本の中のすべてをやって、クッキー自体が保存されていることを確信しています。
- 暗号化コンテンツは
- たちは
が、それはありますクッキーの内容を改ざんをチェックし、接続のために使用されていますマシンへの物理的なアクセス権を持つ誰かがクッキーをコピーして別のマシンに再利用してセッションを盗むのを防ぐことができますか?
改ざんされていないクッキーを物理的に新しい場所にコピーすることを、提案された小切手の中には誰も止めることはありません。 – Deadron
セッションをIPアドレスに結びつけることはできますが、さまざまな状況で正当なユーザーが壊れるので、それ自体は良い考えではありません。 (IPチェックはより幅広いリスクレーティング戦略の一部として役立ちますが) – bobince
@bobince:ネットワークを変更するたびにCookieを無効にするため、IPアドレスはオプションではありません。 – Sam