现在怎么越来越多的公司用cookie了？这不是过时的技術吗？ - Programming版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Programming版 - 现在怎么越来越多的公司用cookie了？这不是过时的技術吗？

相关主题
● json web token (jwt) 不能revoke,放cookie有啥缺点?	● 请教个wget获取要密码登录的http页面的问题
● node.js session的问题	● 最近忙度假，上来说两句
● 请教 cross two website Authentication 问题	● Node.js question on identifying 2 different web browser tab/pages
● web services的安全性问题。	● 问个jvm的题server stop the world
● 请教JAX-RS大牛？	● node.js用哪个plugin来做log in, session time out之类的管理用户登录？
● 怎么做能提供RESTful的安全性？	● c# project 防止hacker攻击，大家是用什么framework？ (转载)
● angular搞cross domain必须用node吗？	● linkedin上无法隐藏自己的profile (转载)
● 求教个quickbooks Oauth的问题	● Express.js session management: cookie, session store, memory based, DB based

相关话题的讨论汇总
话题: cookie话题: session话题: hacker话题: httponly话题: 信息

进入Programming版参与讨论

(共1页)

c*********e
发帖数: 16335

比如twitter网站，用了cookie.这玩艺不是很容易被hacker搞到信息吗？

c********1
发帖数: 5269

https://en.wikipedia.org/wiki/HTTP_cookie

【在 c*********e 的大作中提到】

: 比如twitter网站，用了cookie.这玩艺不是很容易被hacker搞到信息吗？

w**z
发帖数: 8232

不用cookie用什么？

【在 c*********e 的大作中提到】

: 比如twitter网站，用了cookie.这玩艺不是很容易被hacker搞到信息吗？

c*********e
发帖数: 16335

Security vulnerabilities may allow a cookie's data to be read by a hacker,
used to gain access to user data, or used to gain access (with the user's
credentials) to the website to which the cookie belongs (see cross-site
scripting and cross-site request forgery for examples)
Besides privacy concerns, cookies also have some technical drawbacks. In
particular, they do not always accurately identify users, they can be used
for security attacks, and they are often at odds with the Representational
State Transfer (REST) software architectural style
https://en.wikipedia.org/wiki/HTTP_cookie
真奇怪怎么还有人用cookie这种东西。

【在 c********1 的大作中提到】

: https://en.wikipedia.org/wiki/HTTP_cookie

c********1
发帖数: 5269

Are there vital more secure alternative solutions?
I did not see any major web security issue caused by cookies in recent years.

【在 c*********e 的大作中提到】

: Security vulnerabilities may allow a cookie's data to be read by a hacker,
: used to gain access to user data, or used to gain access (with the user's
: credentials) to the website to which the cookie belongs (see cross-site
: scripting and cross-site request forgery for examples)
: Besides privacy concerns, cookies also have some technical drawbacks. In
: particular, they do not always accurately identify users, they can be used
: for security attacks, and they are often at odds with the Representational
: State Transfer (REST) software architectural style
: https://en.wikipedia.org/wiki/HTTP_cookie
: 真奇怪怎么还有人用cookie这种东西。

k******t
发帖数: 1498

你有空的时候整一个替代方案出来大家试试？cross site攻击主要注意也不是什么大问
题。

【在 c*********e 的大作中提到】

c*********e
发帖数: 16335

用session id就挺好的，client side只有一个session id.为了防止csrf,可以用re-
captcha,也可以用一个scrf token.
cookie都是十几年前的老技术了，竟然又死灰复燃。

【在 k******t 的大作中提到】

: 你有空的时候整一个替代方案出来大家试试？cross site攻击主要注意也不是什么大问
: 题。

c********1
发帖数: 5269

I thought session id is similar to cookie, or enhanced cookie.

【在 c*********e 的大作中提到】

: 用session id就挺好的，client side只有一个session id.为了防止csrf,可以用re-
: captcha,也可以用一个scrf token.
: cookie都是十几年前的老技术了，竟然又死灰复燃。

d****r
发帖数: 300

感觉你的问题不靠谱。说到底这个是怎么balance load的问题。cookie 是把session
全部或部分存在客户端，感觉现在是主流因为方便balance load。当然不要忘了加密。

【在 c*********e 的大作中提到】

c*********e
发帖数: 16335

session id只有一个id在客户端，没有其它任何信息，hacker更加难难道用户的数据。
cookie的信息就在客户端，hacker用一个javascript就能拿到cookie信息。

【在 c********1 的大作中提到】

: I thought session id is similar to cookie, or enhanced cookie.

相关主题
● 怎么做能提供RESTful的安全性？	● 请教个wget获取要密码登录的http页面的问题
● angular搞cross domain必须用node吗？	● 最近忙度假，上来说两句
● 求教个quickbooks Oauth的问题	● Node.js question on identifying 2 different web browser tab/pages
进入Programming版参与讨论

c********1
发帖数: 5269

session id and cookie both are a piece of data exchanged between client side
and server site, right?

【在 c*********e 的大作中提到】

: session id只有一个id在客户端，没有其它任何信息，hacker更加难难道用户的数据。
: cookie的信息就在客户端，hacker用一个javascript就能拿到cookie信息。

d********g
发帖数: 10550

你这是搞混了cookie和session
session id大部分以cookie形式存，也有少部分local storage等但是要考虑兼容性。
“用cookie”是一个很宽泛的说法，你指的cookie不安全只是明码保存的信息。现在的
cookie基本上都是要么加密要么做了签名，拿到信息也无法篡改。在cookie里不保留敏
感信息是基本常识，大部分cookie只是存一个hash id，这里面包括session id。“
hacker用一个javascript就能拿到cookie信息”不准确，HttpOnly就是防这个的，当然
这些flag都是防君子不防小人，稍微改改浏览器源码就能绕过让其不honor
说到auth，除了WebSocket这一套新的stateful，传统HTTP stateless现在用JWT的也不
少，特别是用在REST API上，和session id比各有优势：
https://tools.ietf.org/html/rfc7519
实际上cookie-based session和JWT很像。这些概念没有那么泾渭分明，都是为了解决
stateless和auth的矛盾而产生的solution或者叫workaround

【在 c*********e 的大作中提到】

: session id只有一个id在客户端，没有其它任何信息，hacker更加难难道用户的数据。
: cookie的信息就在客户端，hacker用一个javascript就能拿到cookie信息。

z****8
发帖数: 5023

你如果不出来我就想在下面群嘲了。。。
Session ID 难道不是cookie的一部分？

【在 d********g 的大作中提到】

: 你这是搞混了cookie和session
: session id大部分以cookie形式存，也有少部分local storage等但是要考虑兼容性。
: “用cookie”是一个很宽泛的说法，你指的cookie不安全只是明码保存的信息。现在的
: cookie基本上都是要么加密要么做了签名，拿到信息也无法篡改。在cookie里不保留敏
: 感信息是基本常识，大部分cookie只是存一个hash id，这里面包括session id。“
: hacker用一个javascript就能拿到cookie信息”不准确，HttpOnly就是防这个的，当然
: 这些flag都是防君子不防小人，稍微改改浏览器源码就能绕过让其不honor
: 说到auth，除了WebSocket这一套新的stateful，传统HTTP stateless现在用JWT的也不
: 少，特别是用在REST API上，和session id比各有优势：
: https://tools.ietf.org/html/rfc7519

c*********e
发帖数: 16335

en，cookie有很多种。我说的session cookie只是存在内存里，不是一个存在hard
drive的physical file.这个区别很大。一个在内存，一个是文件。
A session cookie, also known as an in-memory cookie or transient cookie,
exists only in temporary memory while the user navigates the website. Web
browsers normally delete session cookies when the user closes the browser.

【在 d********g 的大作中提到】

j**********3
发帖数: 3211

用它干啥？为啥不用？

c*********e
发帖数: 16335

存在内存里的session cookie,比较安全，一般没事。但是，存在hard drive里的
cookie,就没那么安全了。twitter用它来分析用户的使用习惯。其实，google
analytics用javascript来更好些。我朋友公司，规定存在hard drive里的cookie,必须
指定过期时间。

【在 j**********3 的大作中提到】

: 用它干啥？为啥不用？

O*******d
发帖数: 20343

cookie的内容可以加密。

【在 c*********e 的大作中提到】

: 比如twitter网站，用了cookie.这玩艺不是很容易被hacker搞到信息吗？

c*********e
发帖数: 16335

那为啥不推荐cookie里存密码？

【在 O*******d 的大作中提到】

: cookie的内容可以加密。

O*******d
发帖数: 20343

cookie的加密和解密，可以在服务器端做。跟browser没有任何关系。 hacker可以把
你加密的密码照原样送到服务器，服务器无法知道这是合法的密码还是被盗窃的密码。
但是用户的信息，即使被盗窃了，hacker无法解密，就无法使用。 hacker也无法知道
加密的内容是什么。如果有大量cookie，更无法知道哪个是有用户信息的。
现在用的较多的是OAuth方法来从第三方网站登录。主要思想是用access token。
token是加密的，有用户信息。第三方网站无法知道其内容，只能照原样传回去。

【在 c*********e 的大作中提到】

: 那为啥不推荐cookie里存密码？

m***i
发帖数: 2480

用Http only cookie不就可以了吗

【在 c*********e 的大作中提到】

: 比如twitter网站，用了cookie.这玩艺不是很容易被hacker搞到信息吗？

相关主题
● 问个jvm的题server stop the world	● linkedin上无法隐藏自己的profile (转载)
● node.js用哪个plugin来做log in, session time out之类的管理用户登录？	● Express.js session management: cookie, session store, memory based, DB based
● c# project 防止hacker攻击，大家是用什么framework？ (转载)	● 我朋友说他一门课,老师专门教学生怎么hack,还要自己做一个hack的project.
进入Programming版参与讨论

c*********e
发帖数: 16335

OAuth方法，hacker把access token的值拿到以后，能伪装成用户登录吗？

【在 O*******d 的大作中提到】

: cookie的加密和解密，可以在服务器端做。跟browser没有任何关系。 hacker可以把
: 你加密的密码照原样送到服务器，服务器无法知道这是合法的密码还是被盗窃的密码。
: 但是用户的信息，即使被盗窃了，hacker无法解密，就无法使用。 hacker也无法知道
: 加密的内容是什么。如果有大量cookie，更无法知道哪个是有用户信息的。
: 现在用的较多的是OAuth方法来从第三方网站登录。主要思想是用access token。
: token是加密的，有用户信息。第三方网站无法知道其内容，只能照原样传回去。

c*********e
发帖数: 16335

如果不用oauth,在用户浏览多个网页的时候，怎么让浏览器知道是同一个用户在浏览呢？

【在 O*******d 的大作中提到】

c*********e
发帖数: 16335

If a browser does not support HttpOnly and a website attempts to set an
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly

【在 m***i 的大作中提到】

: 用Http only cookie不就可以了吗

a9
发帖数: 21638

照你这想法什么都保护不了，直接把用户的http流全分析就行了。要的就是主流的浏览
器都支持的功能就行了。

【在 c*********e 的大作中提到】

: If a browser does not support HttpOnly and a website attempts to set an
: HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
: creating a traditional, script accessible cookie. As a result, the cookie (
: typically your session cookie) becomes vulnerable to theft of modification
: by malicious script
: https://www.owasp.org/index.php/HttpOnly

c*********e
发帖数: 16335

存在hard drive上的cookie，能存一些用户的私人偏好，比如喜欢上fashion网站，喜
欢上food网站，这些偏好能存在cookie里，server根据这些偏好给用户的网页里加上些
类似的广告连接。
密码是不能存在cookie里的。

【在 a9 的大作中提到】

: 照你这想法什么都保护不了，直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。

m***i
发帖数: 2480

tell me which morden browser does not support http only cookie. Google
accounts rely on it.

【在 c*********e 的大作中提到】

g*******t
发帖数: 7704

cookie存广告数据，浏览的页面，然后狗狗的广告就能提取，
flash player也存了很多信息，大部分是广告信息，

c***n
发帖数: 809

流分析，谁这么傻不用https

【在 a9 的大作中提到】

: 照你这想法什么都保护不了，直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。

(共1页)

进入Programming版参与讨论

相关主题
● Express.js session management: cookie, session store, memory based, DB based	● 请教JAX-RS大牛？
● 我朋友说他一门课,老师专门教学生怎么hack,还要自己做一个hack的project.	● 怎么做能提供RESTful的安全性？
● 请教client 与server node.js 写的api 如何进行安全验证	● angular搞cross domain必须用node吗？
● 求助：准备开发一个 mobile app talk to our system，应该准备那些技术	● 求教个quickbooks Oauth的问题
● json web token (jwt) 不能revoke,放cookie有啥缺点?	● 请教个wget获取要密码登录的http页面的问题
● node.js session的问题	● 最近忙度假，上来说两句
● 请教 cross two website Authentication 问题	● Node.js question on identifying 2 different web browser tab/pages
● web services的安全性问题。	● 问个jvm的题server stop the world

相关话题的讨论汇总
话题: cookie话题: session话题: hacker话题: httponly话题: 信息

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天