@yakczh 根证书放在你的客户端能读到的地方，我没干过android...更具体的我就不晓得了

淘宝买个20块的虚拟visa，然后去AWS开通一年的EC2 micro instance, 首年免费~ 选新加坡或者东京机房，国内速度还不错。

colorama

类比一下，来电显示号码这个东西就譬如HTTP头里的X-Forwarded-For，完全是可以设定的，而且不能反应客户端的真实ip.

更具体的可以看这个http://drops.wooyun.org/tips/342

说白了，这个东西从技术设计上就是不安全的

铜球贵金属的，俺的黄金白银被套了半年了，买在了山顶上，现在还在套着，求推荐好的EA用来看盘&模拟

@est 其实还好吧，就算是找CA签名的证书，私钥丢了吊销后不知道多久才会更新吊销列表到客户端，移动平台就更别提了。如果是自己维护的客户端，更新个新版本使用新的根证书就行了。

@wodemyworld 前段时间不是有那个么，利用路由器漏洞篡改路由器dns到私有dns server，然后把cnzz,ga等的dns指向一个私有服务器，替换统计代码为点击劫持广告代码。其实它们完全可以更恶意更狠点。。

你的手机客户端要能读到你用于自签名的根证书。。那就是安全的。

”如果别人能通过某种方法得到了一个管理员的所有cookie键值，那是不是全部暴露了？
一般用什么方法阻止这种伪造cookie？“

@kran 除了将session id的生成算法加入客户端特征(ip,浏览器ua等)，我想不出其它办法。否则没道理同样的cookie我转移个地方就不能用了。

@kran 所以说你这问题就是判断session id是否非法啊，这跟你session内容怎么存一点儿关系都没啊？无论你session内容是存在服务器还是加密存在cookie里，你都是要把session id存在cookie里呀

风险的话，既然是session(会话)，那么它暗含的意思里就是时效短，你设置cookie里的session id的生命周期为浏览器生命周期，这样可以有效防窃取。

我觉着LZ的意思是要把session当cookie用，如果你服务端不维护一个有效session数据库，那你这session就是纯粹的cookie啊，要提高cookie的安全性，就那几种方法，http only防止被js代码获取，有效防止XSS; session id由客户端ip, 浏览器特征等客户端特征进行加密生成。

安全性跟便捷性往往就是冲突的，只能看你取舍了。

@kran 我是觉得你这问题问的不对，什么叫“基于cookie存储的加密session”，除了直接把session id写在url里外，其它类型的session不都是基于cookie的么？

@kran 如果cookie被劫持的话无论你是服务端存储session还是cookie存session,那还不是一样的暴露？当然除非你的session id是写在url里的token。

@MC 这个就是蛋疼之处，现在美盘btc基本是被庄家控制了，交易基本毫无逻辑。带着国盘也乱跑。所以我程序也基本是靠感觉的。。。

抓取btcchina的交易记录，自动分析成交量及k线，提供止损卖出以及买入提醒。

session 设一个短的过期时间，每次设置session的时候写入登录时间及IP到redis

简单粗暴但稳定。效率(并发性能)一般，进程所耗资源相对大，系统内可fork的进程数有限，而且进程频繁切换耗费比较大，特别是高IO的进程，效率会大大降低。

一句话，如果并发要求没那么高而且是高CPU的任务，用多进程比较合理。
如果是高IO，高并发的，建议用其它并发模型。

PPTV PPS，有多少带宽，吃你多少带宽