[20][03][24] Cookie Security: Persistent Cookie

最新推荐文章于 2024-01-17 10:56:47 发布
最新推荐文章于 2024-01-17 10:56:47 发布
阅读量1.1k 收藏
点赞数
分类专栏: 信息安全 文章标签: Fortify Cookie Security 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122244633
版权

文章目录

1. 问题描述

在长期有效的 cookie 中存储敏感数据, 可能会导致机密性被破坏或帐户受到损害

2. 问题场景

大多数 Web 编程默认创建非持久 cookie, 这些 cookie 只驻留在浏览器内存中 (cookie 不会写入磁盘), 并在浏览器关闭时丢失,程序员可以指定 cookie 在浏览器会话之间被持久化, 直到某个未来的日期, 这样的 cookie 被写入磁盘, 并在浏览器会话和计算机重启时保存下来

如果私人信息被存储在长期有效的 cookie 中, 攻击者就会有更长的时间来窃取这些数据
特别是因为长期有效的 cookie 通常被设置为在遥远的未来过期,当用户与站点交互时, 通常使用长期有效的 cookie 来对用户进行概要分析, 根据对这些跟踪数据的处理, 有可能使用长期有效的 cookie 来侵犯用户的隐私

下面的代码将 cookie 设置为 10 年过期

Cookie cookie = new Cookie("token", token);
cookie.setMaxAge(60 * 60 * 24 * 365 * 10);

3. 修复方案

cookie 的有效期还是需要设置 (如果不设置有效期, 只要浏览器不关闭会一直有效,这样是不安全的), cookie 有效时间建议设置为几小时 (可以根据业务需要调整)

设置有效期为 3 小时

Cookie cookie = new Cookie("token", token);
cookie.setMaxAge(60 * 60 * 3);
安全新司机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security2中设置Cookie的保存时间
05-24
NULL 博文链接:https://ss3ex.iteye.com/blog/374170
测试android:persistent="true"
08-04
由于配置了android:persistent="true"属性,并且Phone.apk是安装在/system/app/目录下的,所以在开机时会自动启动PhoneApp类
cookie security
huqing2010的专栏
07-02 118
http://www.infoq.com/cn/articles/cookie-security
[20][03][23] Cookie Security: Over Broad Path
安全新司机
12-30 1646
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的有效路径, 可以通过同一域名中的其他应用程序访问 2. 问题场景 开发人员经常将 cookie 设置有效路径为 "/" 可以访问, 这将向域名上上的所有 web 应用程序开放 cookie, 由于 cookie 通常携带会话标识符等敏感信息, 跨应用程序共享 cookie 可能导致一个应用程序的漏洞, 从而危及另一个应用程序 Cookie cookie = new Cookie("token", token); co
[20][03][20] Cookie Security: Cookie Not Sent Over SSL
安全新司机
12-23 2003
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 所创建的 cookie 的 secure 标记没有设置为 true Web 浏览器支持每个 cookie 的 secure 标记. 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie. 通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性. 如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要 2. 问题场景 在下面的示例中,在未设置 secure 标
开发安全之:Cookie Security: Cookie not Sent Over SSL
最新发布
irizhao的专栏
01-17 700
.. 如果应用程序同时使用 HTTPS 和 HTTP,但没有设置 Secure 标记,那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。
Tie::Persistent.pm-开源
07-19
Tie::Persistent.pm 是一个 Perl 模块,有助于以易于使用的方式使您的应用程序数据持久化。 只需将那些应包含持久数据的变量绑定到该模块,指定要保存数据的文件名,就完成了。
Advanced Persistent Security:先进的持久威胁安全性-开源
05-08
系统的体系结构通过不同的指纹机制进行集成。 该系统从内核开始设计,避免了对sdhash的检测和内存分析内置安全性,允许通过过滤请求外部标识,退出Tor节点以及使用TOR指纹结构进行匿名浏览。该系统旨在进行导航,而...
Advanced Persistent Security:A Cyberwarfare Approach by Ira Winkler 2017
09-22
This book is something neither of us originally thought of writing. However, it turns out that this was the book we were meant to write. Both of us wanted to write a book and when approached by ...
PAT: Persistent Applications Toolkit-开源
05-13
PAT:持久性应用程序工具包,AOP(JBossAOP)持久性库(方面库)。 为持久层提供基础的Prevayler(1.02)。 允许用户编写代码而不必担心持久性代码(POJO)。 使用注释
Cookie使用和安全
Adong的程序人生
12-17 596
Cookie简要介绍,安全使用cookie注意点
session cookiepersistent cookie
在路上
08-26 724
大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现不同请求时信息共享呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为SES...
[20][03][21] Cookie Security: HttpOnly not Sent
安全新司机
12-30 1252
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 程序创建 cookie 时没有将 HttpOnly 设置为 true 2. 问题场景 所有主流浏览器都支持 cookie 的 HttpOnly 属性,该属性阻止客户端脚本访问 cookie,跨站点脚本攻击通常会访问 cookie,试图窃取 cookie 或 session,没有启用 HttpOnly 攻击者更容易访问用户 cookie 3. 修复方案 在代码中设置 cookie 的 HttpOnly 属性为 true Cookie cook
漏洞修复:Cookie Security: Cookie not Sent Over SSL
CutelittleBo的博客
01-28 5161
描述 This policy states that any area of the website or web application that contains sensitive information or access to privileged functionality such as remote site administration requires that all cookies are sent via SSL during an SSL session. The URL: ht
Cookie持久化方案——PersistentCookieStore源码解读。
tinyVampire的博客
03-23 4937
Cookie持久化方案——PersistentCookieStore源码解读。 PersistentCookieStore
关于security cookie
左雪菲的专栏
06-15 1653
这里主要讨论栈,不是堆。   首先,security cookie并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带security cookie保护的环境中,就不能正常溢出了。   那么,到底是什么是security cookie呢?   我觉得从广义上讲,它应该是一种保护栈的机制,提供这种保护的,是程序本身,编译进程序本身的代码提供的,而不是系统中某个
Persistent cookies和Session cookies的定义与区别
weixin_33768481的博客
10-24 195
Session Cookies ============ Session Cookies是临时的cookie文件, 在你关闭浏览器之后就会失效并被删除掉. 当你重启你的浏览器, 并再回到之前为你创建cookie的站点的时候, 这个站点不会认识你的. 你必须重新登录. 登录之后, 一个新的session cookie会被生成. 你的浏览信息会被存储在这个新的cookie中, 这个cookie会一直...
Persistent cookies和Session cookies的定义与区别
qq_26880671的博客
03-11 360
一、Session cookie     Session Cookies是临时的cookie文件, 在你关闭浏览器之后就会失效并被删除掉。     当你重启你的浏览器, 并再回到之前为你创建cookie的站点的时候, 这个站点不会认识你的. 你必须重新登录. 登录之后, 一个新的session cookie会被生成. 你的浏览信息会被存储在这个新的cookie中, 这个co...
NetScaler的cookieinsert和sourceip联合保持机制
weixin_34320159的博客
05-18 232
NetScaler的cookieinsert和sourceip联合保持机制  使用NetScaler的cookieinsert和sourceip联合进行session保持机制即主用cookieinsert方式进行保持,当cookieinsert失效时启用sourceip的保持机制。 客户端访问到NetScaler的某一个vserver,NetScaler接收到第一个request时,使用load ...
android:persistent
04-09
android:persistent 是一个布尔型的属性,用于指定一个组件是否应该一直存在,而不是在不再需要时被销毁。如果设置为true,则组件会在设备重新启动后保留,并且即使没有与之连接的任何活动也会继续执行。这个属性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值