[严重警告] 从现在开始不要看MDK的帖子，并安装弹出窗口杀除器....MDK居然利用论

以下引用Taishen在2004-10-6 23:36:06的发言： 是5×1111＋4444KP…………全扣起了，王二的已经归还，管理员的就充公算了=v=||| MAGI2要不要把帐号改名为MAGI4呢？呵呵...

干脆帮我改成 Misha 算了，我IRC一直用这个的....谢了！ >_<

好...两位的ID都改好了，日后登录时记得用新ID名...

改了......真高兴.......感谢............已经重新登陆了....

以下引用Taishen在2004-10-6 23:36:06的发言： 是5×1111＋4444KP…………全扣起了，王二的已经归还，管理员的就充公算了=v=||| MAGI2要不要把帐号改名为MAGI4呢？呵呵...

充公就充公吧，不过小小透露一下第五个是谁好不好？  XD

取消SESSIONID……总之不是完全做法。
而且现在的COOKIE是MD5加密的，所谓的全文COOKIE加密又是什么？（爆

其实只要允许保存一种东西（例如COOKIE），然后下次可以不输入密码自动登陆。就一定可以伪造……
SESSION的伪造因为在是服务器处随机产生，所以只能在被伪造者在线有SESSIONID的情况下，成功几率要比COOKIE伪造小的说……

以下引用zhangmdk在2004-10-7 0:44:18的发言： 充公就充公吧，不过小小透露一下第五个是谁好不好？  XD 取消SESSIONID……总之不是完全做法。 而且现在的COOKIE是MD5加密的，所谓的全文COOKIE加密又是什么？（爆 其实只要允许保存一种东西（例如COOKIE），然后下次可以不输入密码自动登陆。就一定可以伪造…… SESSION的伪造因为在是服务器处随机产生，所以只能在被伪造者在线有SESSIONID的情况下，成功几率要比COOKIE伪造小的说……

事情终于平反.....饮得杯落啦.....

嗯……mdk先说说另外那4个是谁？我都不知道漏了哪一个……
session确实是有随机密码在防护着的，所以确实只有id的主人在线而又被盗取了cookie的情况下才有被伪造的可能……

.......这样说来，难道我的cookie被MDK偷了？ -_-|||||| 汗，这小子..........不，是这JS.....

MD5不是加密，只是签名而已。
全文加密很简单，把所有需要保存cookie的内容在服务器端包装好，使用密码或者公匙加密，读取的时候采用二进制方式读入，在服务器端解码，客户端从头到尾都不会知道cookie里面到底有什么。

我知道了，是不是类似网页密匙加密的形式？
不过那样也是无用的。

因为你加密后的数据也需要传到客户端，然后从客户端传到服务器解密。
客户端根本不需要密匙，那密匙加密后的COOKIE和现在的MD5算法加密没有什么实质性的区别。
随机一个密匙，将最后一次的密匙存入对应的表，COOKIE发送和接受的时分别加密解密一次。说白了，也只是改变了COOKIE伪造的内容而已……

因为你服务区端的密匙永远是存在的，所以客户端完全不需要去考虑这个内容是否加密了，就合现在的MD5一样，只不过得到的不是明文而已……因为MD5是不可逆算法，无法破解只能靠碰撞，而加密算法都是属于可逆算法，也有被破解的可能，特别是源码被偷了之后。

只有让客户端完全不接触COOKIE，才可以防止COOKIE的伪造……
让COOKIE里面只有SESSION ID和PASS，每次登陆的时候都会再次随机产生，也就是每次登陆的COOKIE都会变化，这样可以做到一定程度上防止伪造吧…………否则，看样子只有取消COOKIE这种东西了。

Cookie里面绑定IP地址，看你怎么办 -_-b