我们有一个应用程序,除其他外,检查cookie的存在并读取和解密cookie的内容。虽然存储在cookie中的数据不敏感,但它已通过TripleDes加密进行加密。今天提出的问题是,保存在单个PC上的cookie是否可以复制到另一台PC上,以及Web应用程序是否会在另一台机器上检测到这个复制的cookie的存在,并最终解密它在原始PC上的内容。
我的问题是:我们使用标准的ASP.NET实现来保存cookie(即通过HttpResponse),index.dat文件是否阻止cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,或者index.dat中是否存在将cookie绑定到特定机器的内部结构,该怎么办?
绝对。这是cross-site scripting (XSS) attacks工作的一种方式:
这个特殊问题bit SO在私人测试期间。
是的,窃取cookie是一种从用户窃取会话的常用技术。
有些站点尝试将cookie绑定到客户端的IP,但是面对具有多个出站接口或其他非驻留设置的大型企业代理,这会失败。
即使其他一切都没问题,如果有人可以实际访问用户的计算机,他们也可以将cookie复制到另一台计算机上。
例如,如果需要,只需克隆磁盘!
除了其他答案。永远不要相信来自Web应用程序用户的任何内容,无论它是否已加密。
这与客户端和服务器上的验证输入相关。不要相信客户端上的验证已经完成。