-2
似乎外面的傳言是說php會話密鑰並不那麼安全。php會話如何容易
在some forum說php鍵只有32位這麼容易被暴力強制。當我看到別的地方(忘記的地方),說php使用IP,創建時間,很多事情來創建一個160位的會話密鑰。
所以......我很困惑。是否可以使用本地會話密鑰,因爲我有點希望儘快運行我的網站,但如果它如此易碎,需要一些時間來做更多的研究。
蠻力怎麼強迫等方式呢?
A
回答
2
PHP會話ID是使用隨機輸入的MD5哈希創建的。 MD5是一個16字節結果(或十六進制數的32個字符)或128位。不是32位。
如果你不喜歡默認的自動生成會話ID的安全性,您可以:
- 配置session.hash_function使用SHA-1代替,給你160位。
- 用密碼隨機來源自己創建一個會話ID,並通過調用
session_id("your-random-value")來設置會話ID。請注意,並非每個字符都可以用於任何會話保存處理程序,您可能會受到限制。
有了這些信息,我認爲可以安全地得出結論,PHP會話ID是安全的。
+0
它不是完全隨機的輸入:https://github.com/php/php-src/blob/master/ext/session /session.c#L308 – Blender
相關問題
- 1. 會話與交易
- 2. FetchToken的會話ID易趣
- 3. 休眠@交易會話
- 4. 如何恢復PHP會話?
- 5. 如何刪除PHP會話?
- 6. 如何啓用PHP會話?
- 7. 如何殺死PHP會話?
- 8. 如何處理會話php
- 9. Yii會話和PHP會話是否交叉兼容?
- 10. PHP - 如何檢索會話在PHP
- 11. 顯示內容,sest會話。會話結束後再次顯示內容.. PHP
- 12. Symfony會話到php會話
- 13. CodeIgniter會話vs PHP會話
- 14. PHP:會話內的會話?
- 15. 如何(容易)從文檔
- 16. 比jq UI對話更容易嗎?
- 17. PHP會話。管理員如何銷燬用戶的會話
- 18. PHP會話 - 每個用戶多個會話 - 如何同步?
- 19. 爲什麼/何時會話寫入容易受線程終止影響?
- 20. 使用SteamTrade交易 - 如何獲取SteamWeb會話?
- 21. NullReference與交易處置會話時
- 22. 休眠會話問題的交易
- 23. 交易並保留node.js/express會話
- 24. mysql pdo交易和會話存儲
- 25. 會話和交易在Hibernate中的Java
- 26. 連接vs會話vs交易
- 27. PHP會話PHP存儲在數據庫中時容易受到計時攻擊嗎?
- 28. PHP會話
- 29. PHP會話類
- 30. PHP MySQL會話
「我注意到會話密鑰長度只有32位」 - 這是不正確的。這些話後你可能會打斷你的閱讀。 – zerkms
PS:如果你不僅閱讀那裏的第一條評論,而是閱讀第二條和第三條評論,那該怎麼辦? – zerkms
針對依賴隨機數生成器中的缺陷的5.3以下版本,有[攻擊](https://media.blackhat.com/bh-us-12/Briefings/Argyros/BH_US_12_Argyros_PRNG_WP.pdf)。 – Blender