V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vevlins
V2EX  ›  信息安全

问一个子站共享 cookie 安全问题?

  •  
  •   vevlins · 2020-03-20 17:12:59 +08:00 · 1432 次点击
    这是一个创建于 1744 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假如一家公司有 xx.com ,下面有 a.xx.comb.xx.com

    1. 两个站安全等级要求不同,b.xx.com 有些敏感信息
    2. 为了统一登录,两个站都读取 xx.com 下的 cookie 作为身份认证
    3. 我作为 a.xx.com 的管理,诱导某些具有 b.xx.com 权限的人点击 a.xx.com,并记录下 cookie
    4. 通过工具替换为此人 cookie,就可以登录 b.xx.com

    这种问题如何解决呢?各自一套认证是可行的,但是成本可能很高,比如子站很多。

    2 条回复    2020-03-20 20:14:40 +08:00
    linauror
        1
    linauror  
       2020-03-20 17:44:54 +08:00
    认证用一套,比如只做登录检测和常规权限判断,特殊权限各站点再单独判断了
    oott123
        2
    oott123  
       2020-03-20 20:14:40 +08:00 via Android   ❤️ 1
    你的模型里面每个子站不能互相信任,而都信任中心服务(登录),那么答案就很明显了——看看 OAuth 是怎么设计的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2758 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:58 · PVG 21:58 · LAX 05:58 · JFK 08:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.