1
我在php手冊中閱讀了關於會話漏洞的文章。我瞭解到我需要將會話綁定到用戶SSL證書,並在每個頁面上驗證。我不太清楚這意味着什麼。如何將php會話綁定到用戶SSL證書
我的網站在每個頁面上都有SSL,沒有任何交換機,用戶可以在不使用https的情況下訪問它。
我需要在我的代碼中採取措施來保護我的會話嗎?
A
回答
0
即使您不切換到非安全頁面,我也會建議將會話cookie僅限制爲HTTPS頁面。這可以在使用session_set_cookie_params()調用session_start()函數之前完成,將參數$secure設置爲true。我沒有聽說需要驗證cookie,cookie應該被加密傳輸。
session_set_cookie_params(0, '/', '', true, true);
session_start();
爲了防止會話固定,你應該只用一個cookie傳輸會話ID,而不是在URL中。請參閱session.use_only_cookies設置。爲了在安全的網站,你可以登錄後重新生成會話ID:
的login.php:
session_set_cookie_params(0, '/', '', true, true);
session_start();
session_regenerate_id(true);
這產生了不同的會話ID一個新的cookie,但是保持會話的內容。
0
如果您正在談論客戶端證書身份驗證(客戶端通過該身份驗證提供證書以向服務器進行身份驗證),那麼您可能使用服務器的身份驗證層爲您提供了一個ID。假設Apache Httpd,例如可以用SSLOptions +FakeBasicAuth完成。從PHP的角度來看,在此之後使用HTTP基本身份驗證並沒有太大的區別(並且您可以將PHP會話綁定到這種形式的身份驗證)。
如果您不是在談論客戶端證書,而是在SSL/TLS會話ID中,SSL/TLS會話的概念與PHP會話完全不同。由於許多原因(包括連接丟失,超時,同時在頁面上同時下載多個項目,...),SSL/TLS會話可能在PHP會話期間合法更改。這種改變的效果對於HTTP層是完全透明的。這兩種會話之間沒有任何關聯,並且使用SSL/TLS會話ID作爲PHP會話ID的基礎更可能產生麻煩。
相關問題
- 1. 將客戶端SSL證書添加到WCF綁定
- 2. IIS7:如何將SSL證書綁定到Https主機頭?
- 3. IIS中的'Require SSL'證書如何與HTTPS證書綁定?
- 4. 使用.NET API導入證書時,無法將證書綁定到SSL
- 5. Java:如何從ssl證書獲取ssl會話數據?
- 6. 如何使用球衣將會話綁定到用戶對象
- 7. SSL證書客戶端驗證 - 如何?
- 8. 將自簽名SSL證書綁定到端口失敗
- 9. 如何使用Mozilla的CA證書的SSL客戶端證書
- 10. PHP - SSL套接字客戶端證書
- 11. 使用SSL證書驗證用戶
- 12. PHP CURL和SSL證書(或證書鏈)
- 13. 禁用SSL證書鎖定
- 14. SSL - 服務器證書綁定到特定的機器嗎?
- 15. 如何將HTTPS重定向到沒有SSL的HTTP證書
- 16. ApacheDS和PHP LDAP SSL綁定:證書問題
- 17. SSL證書不會保存
- 18. PHP確定SSL證書的類型
- 19. 新的SSL證書會影響現有的SSL證書嗎?
- 20. 客戶端的SSL證書
- 21. 使用SSL和WCF進行自託管 - 無法將證書綁定到端口
- 22. Clojure的SSL指定本地證書作爲客戶端證書
- 23. Powershell IIS7管理單元將SSL證書分配給https綁定
- 24. 如何徹底腳本導入SSL證書,該證書綁定到特定的網站
- 25. PHP SSL證書指紋
- 26. PHP SVN - SSL證書錯誤
- 27. PHP SSL證書摘要
- 28. PHP會話空使用SSL?
- 29. 綁定到端口時,SSL證書添加失敗
- 30. SSL證書是否綁定到服務器的IP地址?
我認爲你寧願打算將PHP會話綁定到SSL會話ID。或者你的意思是客戶證書? – Gumbo 2011-05-12 08:30:09