1
我已經寫了一個簡單的自定義會話處理程序(在MySQL中,但這不相關),它只是將序列化會話數據,會話標識和當前時間保存到表中。在自定義處理程序中保護PHP會話ID
雖然會話存在,但會話ID與攻擊者的密碼一樣有價值,這使我相信我應該以某種方式加密它。
將數據存儲到數據庫之前,爲了強制攻擊者強制使用會話ID僞造cookie,是否值得對其進行散列處理?
我的網站已經對所有連接使用HTTPS。
A
回答
0
所以你要防止的是,如果攻擊者從你的數據庫訪問會話ID的轉儲,他可以擺出任意用戶的身份,因爲他可以按原樣使用會話ID。對於這一點來說,以散列密碼的方式散列id實際上是個不錯的主意,所以單向查找是可能的,但散列值本身已變得毫無用處。由於會話id通常很快就會過期,因此在暴力破解中幾乎沒有用處。
另一方面,由於會話id通常非常快速過期,因此可能沒有多少指向。攻擊者的機會之窗非常小。攻擊者能夠從數據庫中獲得會話id的轉儲的重要性更加嚴重,並且是一種更糟糕的攻擊,因爲這意味着攻擊者可能已經可以訪問其他數據。
它仍然是一個值得保護的小缺點(輕微的計算開銷,稍微複雜的會話ID調試)。
相關問題
- 1. 使用自定義會話ID處理PHP數據庫會話
- 2. PHP中的自定義會話處理程序
- 3. PHP - 默認會話處理與自定義會話處理
- 4. PHP自定義會話處理程序行爲
- 5. 保護會話ID
- 6. 在PHP中使用分隔符自定義會話處理程序
- 7. 自定義.htaccess密碼保護處理程序
- 8. PHP會話上傳自定義會話處理器進度
- 9. 自定義會話處理程序和重定向
- 10. Java Servlet API會話處理中的自定義ID API
- 11. 保護PHP會話
- 12. 會話處理程序中的PHP cookie
- 13. 自定義PHP錯誤處理程序
- 14. php自定義錯誤處理程序
- 15. Laravel 4 - 自定義會話處理程序
- 16. 自定義會話處理程序不工作
- 17. CakePHP自定義數據庫會話處理程序
- 18. 自定義會話處理程序上的CakePHP 2.0.2
- 19. AutomaticInputSessionShutdown自定義會話關閉處理程序
- 20. 當自定義會話處理程序正在使用時,如何從PHP的默認會話中獲取值?
- 21. Tomcat - 自定義會話Cookie處理
- 22. 自定義會話超時處理
- 23. 使用自定義DynamoDB會話處理程序登錄後Symfony會話爲空
- 24. registerClientScriptBlock在自定義處理程序中?
- 25. 會話未在處理程序的asp頁面中維護
- 26. PHP自定義會話處理程序 - 數據庫連接變爲NULL
- 27. PHP自定義會話管理類
- 28. 使用程序PHP處理會話
- 29. 在PHP會話中保護cookie
- 30. 如何通過會話處理來保護php -YII Weservices?
在stackoverflow上會話ID是「加密」嗎?您需要防止來自多個客戶端的同一會話的惡意使用,而不是標識符本身。 – zerkms
@zerkms,除非我能讀懂會話表,否則我不會知道。 – Martin
因此您的網站上的用戶可以閱讀會話表? – zerkms