如何构建安全的“记住我”的特性

　　适得其反的模式

　　这看起来挺明显的吗，不是吗？我是说关于“记住我”这个特性的模型还是挺基础的，不是那种很容易搞错的东西。你确定吗？显然不是。

　　在我们讨论怎么做才能做对之前，我们先来分享几个适得其反的模式的案例。第一个案例就是Black & Decker，就是我前段时间在Security is hard, insecurity is easy里写到的那个B&D。这就是你准备登录时的样子:

　　这还是挺中规中矩的，有意思的东西要等你登录后才能看到。然我们来看下Cookie记录:

　　这是cookies的一些相关属性和值。但是高亮部分是真正值得关注的地方。假如用户没有选择"记住我 "按钮,这些cookies的信息不会存在,所以它们的功能纯粹是为了用户稍后登录。我的用户名是相当的清楚,我的密码被加过密码。注意看看这个密码,那是Base64编码!这就意味着密码被实现由Base64编码,你能拦截它在某些地方例 如 base64decode.org 这样做:

　　现在并非所有人知道Base64这一门加密技术 (是的,用户可以真正地这样做) 。它是相当完美合法代替数据用ASCII格式, 这个真正的故事在这里是告诉我们的密码在浏览器以文本方式。你可能会惊奇-为什么有问题呢。它是在你的浏览器,真的?黑客怎么攻击它呢?

　　我将要去讨论两种简单的方式。第一种方式是涉及到前面链接的不安全的信息。Black & Decker 已经暴露了ElEMH日志和这些日志相关的未处理服务器异常。我会通知它们在 50,000的北方。当ELMAH日志发生异常,那么意味着cookies(所有请求头信息)将会被记录。系统将会抛出大量的错误信息,你会接受到一个用户凭证。是的,他们应该开始恰当地保护ELMAH日志信息。但它是一个很好的例子,你怎么可以很容易地通过一个非常简单的配置撤消错误信息。