Bilgisayarın IP adresini ve / veya hostname (karma) çerez yanı sıra mevcut düzeni depolamak ve de doğrular.

Eğer gerçekten onu durdurmak değil, ancak zor ve böylece daha az çekici hale getirmek için yapabileceğiniz şeyler vardır

1. Https (443) bütün oturum kullanmasını gerektirir. Yani çerez koklama herhangi bir man-in-the-middle saldırıları engelleyecektir

2. Sadece bir oturumda bir anda etkin olmasını sağlayacaktır. Ikinci oturumda gösterir sonra, ilk oturumu geçersiz kılınır.

3. Parolayı (edit: or email address or anything else that could allow the account to be stolen once the attacker is logged in) değiştirirken eski parolasını sağlamak için kullanıcı gerektirir; Bu hesabı ele geçirme ve kolayca şifreyi değiştirerek birini engeller.

4. Belki birkaç saat - oturum tanımlama için çok sınırlı bir ömrü var.

Bu sizin sisteminize bir açık kapı var, çünkü sen kolayca bir kullanıcı tarafından okunabilir herhangi bir hassas bilgileri depolamak değil emin olmak isteyebilirsiniz, söyleniyor. Bir kredi kartı ya da SSK sistem içinde, yani, örneğin, kullanıcıya görüntülenmez.

Senin tarif ettiğin tehdit bir düşman, bir kullanıcının çerez çalmak ve o kullanıcının oturumunu erişmek için kullanmak olacaktır. Bu karşı önlemek için bir yolu Daniel A Beyaz bahseder gibi bu mümkün değilse, bu müzakere hiçbir% 100 güvenli yolu olmasına rağmen, IP adresleri veya Hostnames saklamaktır.

İşte bu tür saldırılardan karşı güvenliğini sağlayan bir çift diğer seçenekler şunlardır:

1. Tüm oturum tabanlı site trafiği için HTTPS kullanın ve yalnızca HTTPS üzerinden iletmek için çerezleri ayarlayın. Bu sizin için bir seçenek ise, bu man-in-the-middle saldırıları engelleyecektir.
2. Her istek üzerine değiştiren bir rastgele değeri ile ek bir tanımlama ayarlayın. Rastgele değer birden fazla kullanılırsa, bir korsanı erişimi kazanmıştır biliyor ve güvenliği için oturumu yok edebilir.

Hatta bir tanımlayıcı (benzersiz bir oturum tanımlamak için zaten kullanılan) bir oturumu kaçırmak için kullanılan olabilir. Yeni bir atamadan önce eski şifre soran hakkında ipucu Tamam ama destek eğer tür parola her kritik bilgiler için sormak gerekir özelliği (e-posta gibi) hesabına değişti "Şifremi Kayıp".

Google ne yaptığını: onlar (iş yerinde, evde kullanmak olabilir, çünkü, vb) hesabınıza oturum açmış "yerler" (veya bilgisayar) göz atmak ve bu bağlantıları "kapatmak" için izin verir. Olay bir bağlantı size bilinmeyen, sen (oturumu kapatın) it "kapatmak" ve emin korsanı (şifre bunun bilinen varsa) eski şifreyi kullanmak değildir yapmak üzere hemen size şifrenizi değiştirebilirsiniz.