王中王之所以COPY走就能用的，是因为以目录组织这种简单形式和没有唯一识别加密。 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 702040

Apache：

王中王之所以COPY走就能用的，是因为以目录组织这种简单形式和没有唯一识别加密。

[阅读: 468] 2009-02-23 03:24:59

如果浏览器加强这方面的安全，要求用户必须使用浏览器内置的导入导出机制，并且校验导入导出的唯一识别，不就没有这方面的问题了

实际COPY走就能用，是一种非正规的导入导出方法,恐怕只有以纯目录＋文本文件的方式组织Cookie 才有效,如果搞个本地数据库，随随便便就可以加密，岂不是更好。

GUID的问题，我把密钥保存在一个你系统不认识的扇区的不知道的位置，你怎么简简单单就能监测到呢？如果还不够？我想办法写到硬件里

相关信息:

俺发现Cookie太危险了 (616字) (王中王 [930] 2009-02-19 13:04)
- 方便和安全本来也是冲突的 (空) (dead_lee [376] 2009-02-19 13:08)
- 可以后台加强一下。。。。。。。。 (69字) (haitao [421] 2009-02-19 13:11)
  - 老大，IP是最好伪造的，尤其是内网IP。你关机的时候，人家自己设一下就可以了 (15字) (王中王 [542] 2009-02-19 13:21)
    - 加强一下嘛，只是比没有要好 (26字) (haitao [386] 2009-02-19 13:28)
    - 连 MAC 都很好伪造。 (空) (ycm0263 [393] 2009-02-21 14:52)
  - 锁屏的时候，能保证插入U 盘 autorun 不被执行吗？ (空) (Apache [431] 2009-02-19 13:27)
    - autorun 肯定都是禁止的了 (9字) (haitao [379] 2009-02-19 13:30)
      - 像海涛大师这样不食人间烟火的是少数 (空) (Apache [348] 2009-02-19 13:40)
      - 要不要把 JS 也禁止掉？ (空) (ycm0263 [437] 2009-02-21 14:51)
        如果以后js能操作本地文件了，是该禁止了。。。。。。。 (81字) (haitao [475] 2009-02-21 17:08)
        不用以后，也不用好象。 (6字) (ycm0263 [413] 2009-02-21 17:25)
- 你倒是提供了一个思路！！哈哈。用木马盗走也可以啊。看来根本就不能在自己电脑上搞自动登录。否则你中了木马就完蛋。 (空) (pcplayer [397] 2009-02-19 13:12)
  - 是啊，对木马来说一样的道理。你赶紧写一个简单的Copy就行，放到U盘上，去女同事那里偷 (19字) (王中王 [516] 2009-02-19 13:18)
- Web Server 应该是可以利用程序获取客户端MAC 地址的,这点asp都能做到，所以在读写cookie 时确实有必要验证一下合法性 (空) (Apache [662] 2009-02-19 13:29)
  - http会传mac？asp是利用客户端的activex吧？？ (12字) (haitao [401] 2009-02-19 13:32)
    - 收回前面的话，似乎asp 是用后门做到的。 (空) (Apache [406] 2009-02-19 13:36)
    - http会传mac？所有的tcp/udp数据包在被封装成ip数据包时必须有源,和目的的mac地址. (49字) (bjwf [472] 2009-02-19 13:38)
      - 命令 arp -a 可以看到arp cache中所本机通信过的主机的mac地址. (空) (bjwf [489] 2009-02-19 13:39)
      - 如果是公用ip后的局域网里的机器？ (30字) (haitao [452] 2009-02-19 13:43)
        晚上我回家试一下看. (空) (bjwf [351] 2009-02-19 13:59)
        服务器应该看不到 MAC，只能看到 IP。MAC 是以太网的地址，IP包中间经过一连串的路由器，很多路段的介质根本就不是以太网。 (空) (pcplayer [478] 2009-02-19 14:01)
      - 你的手机有来电显示，但你老婆帮你接的电话，再转告给你的时候，不一定会记得电话号码 (46字) (王中王 [569] 2009-02-19 13:51)
        肯定会记得电话号码,tcp是双向协议,不记下对方的电话,一次会话无法完成的. (9字) (bjwf [441] 2009-02-19 13:53)
        你电脑上能看到的 MAC 只是离你的电脑最近的路由器（转发IP给你的电脑的路由器）的MAC，应该看不到源MAC。 (空) (pcplayer [409] 2009-02-19 14:03)
      - mac 是以太网概念. 只有在 LAN 内才是有意义的 (空) (holly [361] 2009-02-21 17:04)
- 除了cndev这样无关紧要的，其他都不会设置自动登录 (空) (newbee [365] 2009-02-19 13:52)
- 从来不用自动登录，那个东西向来是不安全的 (空) (netsnake [371] 2009-02-19 15:10)
- n年前就有类似的讨论了，这几年好像又淡了，cookie使用越来越随意了 (空) (bmkun [386] 2009-02-19 15:26)
- 每台机器固定且不重复的id。。。。。。。。好像还是没有好的解决 (112字) (haitao [516] 2009-02-19 15:36)
  - 可以在硬盘的保留扇区里写点什么。 (18字) (ycm0263 [500] 2009-02-21 14:54)
    - 监控磁盘读写，很容易被发现是读哪个扇区吧 (54字) (haitao [476] 2009-02-21 15:08)
      - 孩子，理论上如此，实际上并不是那么容易。 (96字) (ycm0263 [397] 2009-02-21 21:26)
- 偶通常用的是更省事的方法。 (46字) (ycm0263 [434] 2009-02-21 14:49)
  - 你这办法不省事吧？你得先研究某个网站的 COOKIE 的格式，然后才能伪造啊。 (空) (pcplayer [417] 2009-02-21 15:26)
    - 相对于追踪这个人所花的力气来讲，花这点研究的力气不算什么了。 (空) (ycm0263 [518] 2009-02-21 21:19)
  - 你怎么知道Cookie里的内容如何仿造？和FTP又有什么关系？ (空) (王中王 [571] 2009-02-22 19:32)
    - 偶们这么多年来靠这个吃饭的，能连这点分析能力都没有？ (111字) (ycm0263 [477] 2009-02-22 23:20)
      - ftp登录时的密码好像就是明文传输的，为什么还要生成数据包来冒充？ (52字) (haitao [892] 2009-02-23 08:37)
        没别的，仅仅是因为 (86字) (ycm0263 [430] 2009-02-23 08:44)
        那生成数据包来冒充，就可以不要密码也不要多次尝试了？ (18字) (haitao [425] 2009-02-23 09:04)
- 看来设计浏览器的时候，要注意Cookie的导入导出加密 (空) (Apache [497] 2009-02-23 00:14)
  - 哪里是导入导出，人家是直接拷贝整个目录！ (27字) (haitao [424] 2009-02-23 08:19)
    - 你怎么知道所有浏览器的Cookie 是放在目录里保存的呢 (10字) (Apache [757] 2009-02-23 10:06)
      - 小心年纪轻轻就跟机器人学坏了。。。。。。。。。 (空) (haitao [399] 2009-02-23 10:13)
        海涛大师又想当然了 (空) (Apache [357] 2009-02-23 10:36)
        算了，看来上一句就已经是多余了 (空) (haitao [323] 2009-02-23 10:41)
        haitao 大师想当然的认为所有的浏览器都应该把Cookie 放在目录里组织 (39字) (Apache [437] 2009-02-23 10:42)
        除了不放在本机，最终都是目录文件的形式了 (16字) (haitao [427] 2009-02-23 10:48)
        目录组织copy 过去就能用，本地数据库难道拷过去就能用？ (11字) (Apache [383] 2009-02-23 10:51)
        你试一试就知道了 (76字) (haitao [465] 2009-02-23 11:01)
        加密实际和组织方式没什么关系 (240字) (Apache [437] 2009-02-23 11:07)
        是你想当然认为我说的目录就是直接使用的文件了 (36字) (haitao [343] 2009-02-23 11:12)
        其实可以一直轴下去 (26字) (Apache [383] 2009-02-23 11:13)
        其实，这次根本没人说什么导入导出，浏览器也没提供cookie的导入导出功能 (90字) (haitao [417] 2009-02-23 11:17)
        王中王之所以COPY走就能用的，是因为以目录组织这种简单形式和没有唯一识别加密。 (266字) (Apache [467] 2009-02-23 11:24)
        这与目录组织没什么关系，关键不是这个 (138字) (haitao [437] 2009-02-23 11:33)
        这我同意，我当初想db的是海涛大师想当然认为所有浏览器都以目录组织保存cookie (空) (Apache [417] 2009-02-23 12:12)
        是你想当然认为我说的目录就是直接使用的文件了 (36字) (haitao [2] 今天 11:12 ) (空) (haitao [337] 2009-02-23 12:13)
        不过这倒是提出了一个新思路哈，以后可以搞个什么网络同步cookie 的东西 (空) (Apache [399] 2009-02-23 10:59)
    - 如果浏览器就压根不支持Cookie导入导出功能呢？ (106字) (Apache [582] 2009-02-23 10:38)
- 小甜饼一直是某机器很喜爱的东西吧 (空) (禺疆 [339] 2009-02-23 09:08)
- 从不自动登陆的飘过 (空) (空山新雨 [361] 2009-02-23 10:14)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.008 - 560288