我正在考虑在会话状态中存储用户输入的密码。是否存在我需要注意的安全风险或问题?在会话中存储密码
在会话中存储密码
回答
是的。这只是一个非常糟糕的主意。您甚至不应该将密码存储在数据库中 - 最好的做法是存储密码哈希值。所以你可以验证密码,但是如果有人访问数据库(或者你的情况下会话状态),他们实际上并没有用户的密码。
但会话状态不一定在数据库中,这会使它更安全。如果会话状态不被保留,可以将密码存储在会话状态中吗? – BlueMonkMN 2014-03-26 21:13:07
密码永远不会永远存储在任何地方。 salt +哈希密码,只要他们到达服务器,然后只对该结果进行操作。您无需对用户的原始密码进行操作。 – 2014-03-27 01:08:20
在asp.net中,有很多地方可以存储会话数据。最常见的是开发中,它是InProc,或者基本上在RAM内存中。不过,有一天您可能会决定使用不同的会话提供程序,如数据库或使用Windows Azure缓存。 以明文形式存储密码将使它们在通过网络在这两种情况下传输时都可见。
在上述场景中,通过网络传输会话数据,除非通过https发送传输,否则将显示清除密码。
- 1. 在django会话中存储LDAP密码
- 2. rails在会话中存储密码
- 3. 在joomla会话中存储mod_login密码
- 4. 在会话中存储密码的JSP
- 5. 在会话密钥中存储密码哈希
- 6. 在会话vs url中存储加密密码
- 7. 在Android中存储会话密钥
- 8. 将会话密钥存储在localstorage中
- 9. 存储Kerberos会话密钥
- 10. 将会话密码存储在会话持续时间的变量中
- 11. ASP.Net在会话cookie中存储用户密码?
- 12. 在会话中存储用户名和密码iphone
- 13. 在会话中存储纯文本密码.NET
- 14. 在PHP会话中存储用户密码常见吗?
- 15. 在锂会话中存储密码安全吗?
- 16. 在会话变量中存储密码安全吗?
- 17. 在会话中存储散列密码是不明智的吗?
- 18. 存储密码就像在会话ASP .NET MVC纯文本
- 19. 在mysql中存储会话
- 20. 在会话中存储UnityManager
- 21. wp_get_referer在会话中存储
- 22. 存储在会话
- 23. PHP/Drupal,会话存储和加密
- 24. GWT和存储会话密钥
- 25. 存储会话
- 26. 存储会话
- 27. 将加密密码存储在xml中
- 28. 在加密的cookie中存储密码?
- 29. express:会话存储,查询会话密钥redis
- 30. 使用cookie /会话存储用户名,密码 - Java Servlets
阅读相关帖子 http://stackoverflow.com/questions/4862096/is-storing-login-and-password-hash-in-session-secure-net-c-sharp – 2011-12-16 21:47:57