b***i 发帖数: 3043 | 1 用户上网登陆,然后点击某链接打开jnlp程序。如何把用户的session信息比较安全的
传入?以便jnlp程序可以访问网上限定的和用户相关的信息,比如某个用户可以看某个
文件。
网上有例子是动态php程序明文写出sessionid="afafafafafdfv432234",传给jnlp,我
觉得这是很不安全的。
我想在jnlp生成用户访问文件的链接的时候,可以加入一个新的项,只有jnlp和服务器
定好,比如&secretnumber=432234,然后只把原来sessionid和这个secretnumber异或
,写在动态生成的html文件里,这样那个sessionid是假的。 浏览器和用户并不知道这
个附加的字符串,所以如果有人去猜,还是猜不到的。这样够安全吗?有没有更好的办
法? |
g*****g 发帖数: 34805 | 2 As long as the connnection is https, it's secure, a snnifer can
find the site and port you are connectioning to, nothing else.
【在 b***i 的大作中提到】 : 用户上网登陆,然后点击某链接打开jnlp程序。如何把用户的session信息比较安全的 : 传入?以便jnlp程序可以访问网上限定的和用户相关的信息,比如某个用户可以看某个 : 文件。 : 网上有例子是动态php程序明文写出sessionid="afafafafafdfv432234",传给jnlp,我 : 觉得这是很不安全的。 : 我想在jnlp生成用户访问文件的链接的时候,可以加入一个新的项,只有jnlp和服务器 : 定好,比如&secretnumber=432234,然后只把原来sessionid和这个secretnumber异或 : ,写在动态生成的html文件里,这样那个sessionid是假的。 浏览器和用户并不知道这 : 个附加的字符串,所以如果有人去猜,还是猜不到的。这样够安全吗?有没有更好的办 : 法?
|
b***i 发帖数: 3043 | 3 如果是黑客放了木马呢?会不会获得明文session然后自己也看用户的信息?还是https
会搞定?
【在 g*****g 的大作中提到】 : As long as the connnection is https, it's secure, a snnifer can : find the site and port you are connectioning to, nothing else.
|
g*****g 发帖数: 34805 | 4 Man-in-the-middle attack is possible. But client is supposed to
use certificate authority to detect if the certificate is trustable.
https
【在 b***i 的大作中提到】 : 如果是黑客放了木马呢?会不会获得明文session然后自己也看用户的信息?还是https : 会搞定?
|
b***i 发帖数: 3043 | 5 多谢。
经过测试,jnlp是和浏览器有点关联的,我打开的是applet级别的,不知道谁在背后自
动发送了cookie,所以jnlp不用明文传送session。
【在 g*****g 的大作中提到】 : Man-in-the-middle attack is possible. But client is supposed to : use certificate authority to detect if the certificate is trustable. : : https
|