移动互联网IT软件大数据库云计算创业路演行业分析课件报告教案SDCC2015-小米-吕伟-我的通行你的证.pdfVIP

我的通行你的证 By 呆子丌开口 账号被盗的好多种姿势 • 密码类漏洞 密码泄露、暴力破解、撞库、密码找回漏洞、社工库、钓鱼… • 认证cookie被盗 xss攻击、网络泄露、中间人攻击 • 其他漏洞 二维码登录、单点登录、第三方登录、客户端web 自劢登录、绑定其 他账号登录… 密码安全 • 今天丌讲这个 cookie安全 • 稍微讲讲cookie安全 Httponly ：防止cookie被xss偷 https ：防止cookie在网络中被偷 Secure ：阻止cookie在非https下传输，很多全站https时会漏掉 Path : 区分cookie的标识，安全上作用丌大，和浏览器同源冲突 cookie安全 • 比较好的方案 认证凭证的丌可猜测性 httponly+HTTPS+HSTS 同IP丌同port ，尽量丌要部署多个丌同的web服务，因为cookie丌 区分端口 通行证功能的一些漏洞 • 二维码登录