用于长期会话和会话劫持预防的Evercookie

Question

我正在实施的教室登记系统，是绑定到特定的桌面。不幸的是，我所拥有的只是一个面向公众的get服务器，并且不希望学生能够复制检查url和伪造签入，或者使用工作人员凭据登录，并访问站点上的其他工具。此外，计算机是在一个网络上，他们的DHCP定期重新分配IP的，所以固定在IP上不是一种可靠的方法，客户端验证。所以我想每个could，我可以让一个工作人员从电脑登录到登录网站，设置一个evercookie，然后注销，以防止使用lat登录访问网站上的其他工具。在加载签入站点时，它会检查evercookie，并且只要满足一定的阈值，就会出现签入页面。这具有绕过php/apache的会话超时的额外好处。

还是我错了树，有更好的方法指点授权的客户？

Answer 1

依赖每一个曲奇让你有机会劫持饼干。

在您的情况下，有人可以窃取evercookie id，并从另一台机器上使用它，使您的应用程序相信它在接收来自某个特定桌面的请求，而不是。每一个could都可能被一个老练的用户直接从机器上偷走。

在这种情况下，使用强cookie id、强散列、大量熵等都不会有帮助。

更改evercookie标识符通常会使以前偷来的cookie无效。然而，这将需要有人手动干预，以定期重新生成cookie。这可以自动化，更新的cookie ID可以通过安全连接使用自定义软件推送到您的服务器，但这就打开了软件被盗并在另一台计算机上使用的可能性。

根据经验，依赖于客户端来唯一地标识自己是不可靠的。

如果您的IP地址是通过DHCP分配的，但来自某个可预测的集合，则可以根据已知的IP范围实现IP检查。

您可以在机器上部署自定义软件，并从服务器对其进行“握手”。它可以生成基于硬盘序列号、MAC地址等的唯一标识。然而，您的自定义软件可能被窃取并安装在其他地方，由一个老练的用户，或反向工程。