图
到工作站二中使用Cookies & Inject Browser工具打开网站http://Cookie3.d,网站正常的给出了登陆页面。如图
图
使用Cookies & Inject Browser工具向网站http://Cookie3.d提交从工作站一中看到的Cookie信息,这时网站弹出警告提示“MAC/IP验证失败,请重新登陆!”,可见,服务器拒绝了该Cookie,如图
图
通过以上的功能演示后,我们可以很清楚的看到,明文Cookie模型没有保证Cookie的机密性、完整性、可鉴别性;加密Cookie模型保证了Cookie的机密性和完整性,但是没有保证Cookie的可鉴别性;MAC/IP绑定的加密Cookie模型保证了Cookie的机密性、完整性、可鉴别性。
在Cookie中存放明文的信息是没有任何安全性的,明文Cookie可以被任何人看到并获取其中的用户隐私,而且非常容易被伪造、盗用,严重的情况下会给用户带来巨大的损失。
使用强壮的加密算法来将Cookie信息加密并且加入电子签名看起来是安全的,因为即使Cookie泄露了,得到Cookie的人也无法解读出其中的内容,用户的隐私得到了保护,但是,当Cookie作为网站的用户身份识别凭证的时候,这种方法就明显不安全,如果非法用户得知了用户的Cookie,即使无法解读其中的内容,也可以使用该Cookie来登陆网站,冒充合法用户,所以单纯的加密Cookie的方法只能用来存储一些个性化信息,不可以用来验证用户身份,使用范围受到了局限
在第三种模型中,在Cookie中加入了客户端的特征信息(MAC地址或者IP地址),然后使用强壮的加密算法将Cookie加密并加入电子签名,从上面的演示中可以明显的看到,这种方法生成的Cookie具有较强的保密性,信息无法被篡改、可以有效的鉴别Cookie使用者的合法性。因此可以得出结论,使用MAC地址/IP地址绑定的加密Cookie是安全的。
本次毕业设计通过三个Cookie实例模型的对比,使用一些测试工具充分证实了本设计中的安全Cookie设计达到了设计目标,使用目前比较先进的加密算法完成了Cookie的加密以及密钥的动态管理,保证了用户隐私不被泄露;同时,使用MAC/IP地址绑定到Cookie的方法实现了Cookie来源合法性的鉴别,达到了实现了安全Cookie的目标。
<< 上一页 [11] [12] [13] [14] [15] [16] [17] 下一页