《设计安全的表单登录》一文的确保护了密码的安全,但并不表示把安全提升到了某个档次,因为既然可以在网络中窃听密码,那么也可以窃听传输的 Cookie 信息,很有可能利用该 Cookie 信息来仿冒他人。
当然这要求真实的用户登录后才能操作,所以我们说原文还是有一定的安全性的,这得要求攻击者实时监控,而非程序自动监控记录。
我觉得在服务器端除了验证 Cookie 等信息外,还要验证其它一些信息,比如 IP、User Agent 等,再次提升一下安全性,但这也只是相对提升。
不过话说回来,除非我们是在酒店、机场无线网络、维护很不得体的局域网中,一般来说,我们不用担心别人会非常费力地窃听我们一些应用不是很重要、对他来说价值不高的数据。
