2006年09月25日 19:48
小心帳號藏在 cookie 裡
Post bt Atticus
小心帳號藏在 cookie 裡,這次不是怕帳號被盜走,而是被你家的小寶貝亂下單喔!
英國一位從兩歲就開始上網的小寶貝,上了一年網後,竟然在父母親不注意的狀況下,登入拍賣網站購買一台汽車。所幸車子還是被退回來了,不過這件事還是告訴我們:不要把帳號密碼紀錄在cookie 中,然後乖乖的找一套管理密碼的軟體,需要登入時才輸入會比較好。
不然哪一天突然破產了可都不知道呢!
[引文來源]
小心帳號藏在 cookie 裡,這次不是怕帳號被盜走,而是被你家的小寶貝亂下單喔!
英國一位從兩歲就開始上網的小寶貝,上了一年網後,竟然在父母親不注意的狀況下,登入拍賣網站購買一台汽車。所幸車子還是被退回來了,不過這件事還是告訴我們:不要把帳號密碼紀錄在cookie 中,然後乖乖的找一套管理密碼的軟體,需要登入時才輸入會比較好。
不然哪一天突然破產了可都不知道呢!
[引文來源]
引用URL
http://cgi.blog.roodo.com/trackback/2193540
回應文章
我補充說明一下:
> 小心帳號藏在 cookie 裡
幾乎 99% 所有網站都是把帳號藏在 cookie 裡面, cookie 並不見得不安全, 重點是業者有沒有做編碼和驗證等保護工作.
> 這件事還是告訴我們:不要把帳號密碼紀錄在cookie 中
cookie 的問題是出在網路業者, 而非網路用戶, 很多業者聘用的工程師並不具備有網路安全的知識, 以至於把帳號密碼都存在 cookie 中, 更糟糕的是 cookie 沒有做任何編碼保護, 也沒有設 expire time, 沒有檢查 IP,time 等等.
我想這篇應該改成 -- 使用者能做的是少用 browser 所提供的自動記憶帳號密碼功能, 尤其當你的電腦有機會被其它人使用時
> 小心帳號藏在 cookie 裡
幾乎 99% 所有網站都是把帳號藏在 cookie 裡面, cookie 並不見得不安全, 重點是業者有沒有做編碼和驗證等保護工作.
> 這件事還是告訴我們:不要把帳號密碼紀錄在cookie 中
cookie 的問題是出在網路業者, 而非網路用戶, 很多業者聘用的工程師並不具備有網路安全的知識, 以至於把帳號密碼都存在 cookie 中, 更糟糕的是 cookie 沒有做任何編碼保護, 也沒有設 expire time, 沒有檢查 IP,time 等等.
我想這篇應該改成 -- 使用者能做的是少用 browser 所提供的自動記憶帳號密碼功能, 尤其當你的電腦有機會被其它人使用時
| 檢舉 |
Posted by jsj
at 2006年09月25日 21:16