会话有多安全？

Question

根据我对会话的理解和阅读，像Facebook这样的网站会在您的计算机上存储代码，当您每次访问他们的网站时，您的计算机都会将代码发送回Facebook。这样就省去了每次您想要查看新闻提要时登录的麻烦。

我的问题是，这怎么能保证安全？难道没有人能写一个简单的程序来在你的电脑上找到这段代码--就像Facebook那样？或者，如果你让你的怪人朋友使用你的电脑，你怎么知道他不复制你的会话代码，而只是从其他地方使用你的帐户？

我读到，会话比cookie更安全，因为cookie实际上包含诸如用户名、密码和其他重要信息等信息。但是，如果会话代码无论如何都可以提供对整个帐户的访问，那么会话不是也一样不安全吗？

是否还有其他我不知道的因素，或者会话真的如此不安全？

Answer 1

我的问题是，这怎么能保证安全？难道没有人能写一个简单的程序来在你的电脑上找到这段代码--就像Facebook那样？

是。有人能做到的。他们可以偷你的会议证书。如果您的计算机被破坏，您不能在此基础上构建任何形式的安全。如果你不能信任计算机，你就不能信任浏览器。如果你不能信任浏览器，你就不可能信任这个网站。

所以我们需要从一个基本的假设开始。为了确保网站的安全，我们必须假定浏览器(因此是计算机)是安全的。

如果您可以将代码放到计算机上搜索会话标识符，那么游戏就已经结束了，因为您通常会在那里做更糟糕的事情。

或者，如果你让你的怪人朋友使用你的电脑，你怎么知道他不复制你的会话代码，而只是从其他地方使用你的帐户？

这就是为什么你不应该让朋友使用你的电脑(还有其他原因)。

可以使用一些技术来验证会话来自特定的计算机。但是它们要么是不安全的(比如验证用户代理)要么是脆弱的(比如验证IP地址)。

我读到，会话比cookie更安全，因为cookie实际上包含诸如用户名、密码和其他重要信息等信息。但是，如果会话代码无论如何都可以提供对整个帐户的访问，那么会话不是也一样不安全吗？

会话并不比cookie更安全，因为会话使用cookie进行标识。当然，特定的数据不会离开服务器(因此不会泄漏)，但是攻击者可以恢复会话。

是否还有其他我不知道的因素，或者会话真的如此不安全？

这里的关键是你想保护谁。具体而言，什么样的威胁模式：

• 一个朋友，你让管理员访问你的电脑(让他们借一个特权帐户) 你无法可靠地防止这种情况发生。如果你的用户让别人借用他们的电脑，你，作为一个网站运营商，你无法控制这一点，除非你根本不使用一个会话，并要求用户对每个操作进行身份验证。 只是不要这样做，或给他们一个干净的客人帐户。或者更好的是，使用chromebook，让他们用自己的帐户登录。
• 攻击者在计算机上获取代码 你控制不了这个。
• 有人窥探网络流量(只读)，就像网络数据包嗅探器。 使用TLS (HTTPS)
• 攻击网络流量的中间人(读/写) 使用TLS (HTTPS)
• 有人攻击服务器 保护你的服务器！

一般来说，要想知道如何保护某些东西，您需要考虑攻击将来自的向量。一些你根本无法防御的攻击。还有一些，你只需要教育用户。

Answer 2

会话is存储在cookie中，因此它们的安全性与cookie的安全性相同。

Cookie由浏览器处理，浏览器负责尽可能地保护它们。

没有一个网站可以“向你的浏览器要饼干”(这不是Facebook所做的)。相反，在访问facebook.com时，浏览器会发送facebook.com cookie，而不是google.com cookie。

当然，“编写一个简单的程序来找到这段代码”是很容易的，但是发布它并不是那么容易(也就是说，你在谈论分发恶意软件)，而且这肯定不是Facebook为访问相关的会话cookie所做的事情。

有几种额外的方法可以保护cookie免受未经授权的访问(在一定程度上)。其中之一是将它们变成“HTTP专用”，这样它们就无法在Javascript中访问(它们仍将被发送到Facebook的服务器，但浏览器不会将它们暴露给其他任何内容)。

请注意，cookie实际上与浏览器本身一样安全。如果你的浏览器被“破坏”了(你的古怪朋友)，那么你的cookie也是如此，你的会话也是如此。