讨论网上登陆的安全问题(100分)

  • 主题发起人 主题发起人 铃铛
  • 开始时间 开始时间

铃铛

Unregistered / Unconfirmed
GUEST, unregistred user!
网上许多站点需要登陆后进入,象
163,263,或本站点,这怎样实现比较
安全?
另: pegasus大侠你上回回答我的 (并且把cache
属性设置为private,(不许存盘))怎样实现?
 
请看本论坛Internet/TCPIP分类中的已答问题“网页密码控制”。
 
sorry,谢谢yysun大侠:
可好象不太一样啊.那讲的是做一个登陆网页,可我
希望知道的是登陆后的连续页面的安全性。象本论坛
---登陆成功后,每次切换页面, 都把登陆密码用明
文 cookie 给用户。嘻嘻---也够吓人的。
象163。263 好象不是这样作的,没有 cookie,好象
是动态生成页面。这类东东该怎样做?有无其他方案?
 
刚知道 他们的操作系统不是 nt 而是FreeBSD
FreeBSD在国内应用的主要站点有:
网易的个人主页服务器
163.net免费邮件系统(用了4台)
网易的中文搜索引擎(2台)
北京263.net的免费邮件系统
呜-呜--,要不到d3的程序了.
不过原理汉可以借鉴,谁知道啊!
请大侠们赐教.
 
因为是第一次写网上程序,我也是在摸索有什么好的认证和控制机制。
最初本论坛在注册页中验证了用户和密码后,以后每个页面都
采用了Query String传递用户名 e.g. xxx.asp?UserName=yysun.
很快被 cpp 大虾抓到把柄,他就冒名顶替把比他分高的大富翁的分数扣掉,
自己升格为首富.(这招甚至被他贴到中国Inprise程序员论坛,好在当时我正好
在网上,与他搏斗了一小时,修改好了本论坛的程序,否则就大大乱套,要关门了)
现在用的是Cookie,每进一个页面, 验证Cookie中的用户和密码,它的有效期为
本次会话,浏览器关闭本次会话结束,再打开浏览器需要重新注册.
这样,您即使可以看Cookie中您的用户名、密码等信息,但是没有办法知道别人
Cookie中的内容,所以相对较安全些。论坛中的网络专家 pegasus 大虾曾探究
过本站的机制(我很紧张的),据说没有什么空子能钻(才松口气)。
Unix系统中,可能是通过 cgi 设置了目录/文件的用户权限来进行控制的,
每次注册后生成个临时/虚拟目录,用户具有访问权,
比如263:http://freemail2.263.net/main/html/KiyeRYknA/main.htm
^^^^^^^^^
比如Ex-Ex:http://experts-exchange.com/Q.10096106
^^^^^^^^^^
NT中如想用Delphi写类似的cgi,可以研究一下 dwwang 大虾提供的NT控件,
(在问题“NT开发工具”中)
但是可能比较困难,因为NT4与Unix/Linux的文件系统有差距,它甚至不能控
制用户的存储量(Novel Netware都有呢)。
如果您研究一下有所斩获的话,一定务请不吝赐教,在下洗耳恭听以便更新到
“大富翁论坛2000”版中。
另外我还不大明白:
>象本论坛---登陆成功后,每次切换页面,都把登陆密码用明文cookie给用户。
>嘻嘻---也够吓人的。
这是指什么情况,Any Bug?
 
>另外我还不大明白:
>象本论坛---登陆成功后,每次切换页面,都把登陆密码用明文>cookie给用户。
>嘻嘻---也够吓人的。
>这是指什么情况,Any Bug?
这是因为有人会在网络上运行网络分析仪(例如 Net XRay), 这样
就可以看到不加密的所有数据, 从而盗取别人的密码.
比较成熟的办法有SSL和微软提出的一种安全传输层技术, 在网
路上传输的数据已经经过RSA之类的公开密钥加密技术加过密,
 
正是我担心的问题.
 
yysun还在网上!?
看过我的留言吗?
 
>另: pegasus大侠你上回回答我的 (并且把cache
>属性设置为private,(不许存盘))怎样实现?
就是通过cookie传递参数时, 加上cache=private就行了
 
pegasus大虾:
我找了找 cookie 的资料上边格式是这样注明的:
Set-Cookie:NAME=VALUSE;Expiress=DATE;Path=PATh;
Domain=DOMAIN_NAME;secure
不知 cache=private 对应的是那一条?或者是我的资料
有点旧?
我的程序如下:
Response.SetCustomHeader('Set-cookie:','info='+info+';user'+user);
我把 cache=private 添到后边时老解示为一变量
能否给个例子?
另好象不填时间参数即为--会话结束就过时,对否?

 
Sorry,
private应该这样用:
Set-Cookie: User=;
path=/delphiBBS
Cache-Control:private
>另好象不填时间参数即为--会话结束就过时,对否?
不填时间应该一直有效
像这样用了Cache-Control:private, 根本就不存盘.
如果只用有效期来控制, 盘上还会有文件的
 
谢谢:
反应这么快,我好象有点理解 yysun坛主为什么
把密码明文发送回来了。我给 cookie 加密后发给
用户,再到下一页读入时。由于 cookie中有些特殊
字符,象 双引号 等 使下一页对 cookie 读不出来。
不知 cookie 的字符范围为那些?


 
多人接受答案了。
 

Similar threads

S
回复
0
查看
3K
SUNSTONE的Delphi笔记
S
S
回复
0
查看
2K
SUNSTONE的Delphi笔记
S
D
回复
0
查看
877
DelphiTeacher的专栏
D
D
回复
0
查看
845
DelphiTeacher的专栏
D
D
回复
0
查看
2K
DelphiTeacher的专栏
D
后退
顶部