Вопросы Теги

Персистентность сессии SSL и защищенные cookie

Добро пожаловать на SO. Не удалось понять, почему приложение New Excel используется для открытия исходных файлов. Настройка Application.ScreenUpdating = False может быть легко использована, чтобы сделать исходный файл практически невидимым. Цель приложения Ожидание также неясно.

Пробовал несколько раз с измененным кодом для 300 циклов и диапазоном данных около 250 X 15 ячеек (с повторным открытием и закрытием только одного исходного файла для ознакомительной цели) и занимает всего около 3 минут для выполнения задачи успешно. 

Sub ImportDataFromList()
Dim wsActive As Worksheet
Dim wbImport As Workbook
Dim wsCalc As Worksheet
Dim Fname As String, Rw As Long, sSht As String, sRng As String, Trng As String
Dim srcRng As Range, TrgRng As Range
'Dim Tm As Double

Set wsActive = ThisWorkbook.Sheets("data1")
Set wsCalc = ThisWorkbook.Sheets("calc_page")
'Tm = MicroTimer()

Application.ScreenUpdating = False
For Rw = 5 To 305
Fname = wsCalc.Range("C" & Rw) ' Source File Name4
sSht = wsCalc.Range("D" & Rw)  ' Source Sheet name
sRng = wsCalc.Range("E" & Rw)  ' Source Range
Trng = wsCalc.Range("F" & Rw)  ' Target Range.(Only Top Left cell address is used for trial. later resized to the source range)

Set wbImport = Workbooks.Open(Filename:=Fname, UpdateLinks:=True, ReadOnly:=True)
Set srcRng = wbImport.Worksheets(sSht).Range(sRng)
Set TrgRng = wsActive.Range(Trng)
Set TrgRng = TrgRng.Resize(srcRng.Rows.Count, srcRng.Columns.Count)
TrgRng.Cells.Value = srcRng.Cells.Value
wbImport.Close SaveChanges:=False
Next

'Tm = MicroTimer() - Tm
Application.ScreenUpdating = True
'Debug.Print Tm
End Sub
8
задан saladpope 27 February 2009 в 18:15
поделиться

3 ответа

Посмотрите все темы, связанные с персистентностью SSL. Это - хорошо исследуемая проблема в мире подсистемы балансировки нагрузки.

Короткий ответ: Вы не можете полагаться на SSLID - большинство браузеров пересматривает, и все еще необходимо использовать исходный IP. Если IP-адрес, вероятно, изменит середину сессии затем, можно вызвать мягкую переаутентификацию, или использовать SSLID в качестве моста между этими двумя изменениями IP (и наоборот, т.е. только предположить угон, если и IP-адрес и SSLID изменяются одновременно, как замечено сервером.)

ОБНОВЛЕНИЕ 2014 ГОДА

Просто вызовите использование https и удостоверьтесь, что это Вы не уязвимы для фиксации сессии или для ПРЕСТУПЛЕНИЯ. Не потрудитесь солить свой подлинный маркер с любой клиентской информацией, потому что, если взломщик смог получить маркер (при условии, что упомянутый маркер не был просто тривиален для предположения) затем независимо от того, что средства использовались для получения его (например, сценарии перекрестного сайта, или полный взлом клиентской системы) также позволит взломщику легко получать любую клиентскую информацию, которая, возможно, вошла в маркер (и копируйте тех, которые во вторичной системе в случае необходимости).

Если клиент, вероятно, будет соединяться только от нескольких систем, то Вы могли генерировать пару ключей RSA в браузере для возможно каждой новой клиентской системы клиентские подключения от (где общедоступная часть отправлена Вашему серверу, и половой орган остается в том, что является, надо надеяться, безопасным клиентским устройством хранения данных), и перенаправление к виртуальному хосту, который использует двухсторонний (сертификат однорангового узла/клиента) проверка вместо основанной на пароле аутентификации.

5
ответ дан 5 December 2019 в 19:03
поделиться

Да, но существует несколько вещей, можно делать с этим. Самое легкое это только к кэширует сеансовый ключ (ключи), который Вы используете в качестве соли (на пользователя) и принимаете любой из них. Даже если сессия будет пересмотрена, то у Вас все еще будет она в Вашем кэше. Существуют детали - политика истечения, etc. - но ничто непреодолимое, если Вы не выполняете что-то, что должно быть укрепленным milspec, в этом случае Вы не должны делать его этот путь во-первых.

- MarkusQ

1
ответ дан 5 December 2019 в 19:03
поделиться

Мне интересно, почему было бы недостаточно просто

  1. потребовать ssl в вашем транспорте
  2. кодировать входные данные (html / url / attribute) для предотвращения межсайтового скриптинга
  3. требуют только POST для всех запросов, которые изменяют информацию, и
  4. максимально предотвращают CSRF (в зависимости от того, что поддерживает ваша платформа).
  5. Установите для файлов cookie значение HTTPOnly
3
ответ дан 5 December 2019 в 19:03
поделиться
Другие вопросы по тегам:

Похожие вопросы: