1
所以Opera Dragonfly似乎可以緩存cookies以及會話信息。特別是我的問題是PHPSSID。有沒有辦法隱藏任何時間的調試器/開發人員工具顯示PHPSSID?如何防止在調試器中看到會話ID?
我不介意cookie,因爲他們是安全的。由於其中的數據是用雙鹽和其他一些東西散列的,所以僞造它們對我來說不成問題。
但我想保證PHP會話沒有看到。我將如何能夠實現這一目標?
A
回答
0
總之,答案是:你不能,那不是會話ID的工作。
會話標識點是一個非常隨機的數字,通常稱爲cryptographic nonce。這個值是非常難以猜測的,然後它被用來在服務器端引用關於該會話的狀態。這可能在數據庫中,或者默認情況下PHP使用文件/tmp/THE_SESSION_ID。存儲在$_SESSION中的數據存儲在此文件中,用戶無法獲取此數據。
在PHP中防止攻擊者竊取用戶的會話ID,您應該在您的php.ini中設置session.cookie_secure=On。這迫使會話通過HTTPS。
如果您使用的是HTTPS,那麼會話ID將被該網絡上的攻擊者遮蔽。通過使用HTTPS會話ID不能被像Wireshark或Firesheep這樣的工具劫持。不使用HTTPS是違反OWASP A9: Insufficient Transport Layer Protection。但是,用戶仍然可以通過查看他的Cookie javascript:document.cookie或使用TamperData來查看他自己的會話ID。
+0
但你不需要首先使用HTTPS的有效證書?而這可悲的是花錢,我不想支付,因爲我沒有通過任何重要的數據 – 2011-05-14 00:14:03
+0
如果你沒有傳遞任何重要的數據,那麼你爲什麼關心這個會話ID太多。就我們常規的HTTP會話ID而言。如前所述,會話密鑰只是將用戶鏈接到會話,就是這樣。正如Rich在其他答案中所說的,session id只是用戶機器上的一個cookie,沒有什麼可以阻止用戶看到它,或者爲它設置自己的值。 – Kibbee 2011-05-14 01:05:33
+0
@Kibbee和PT Desu認證憑證(會話ID)是重要的信息。在任何安全的系統中,你必須清楚攻擊者是誰。用戶看到他們自己的會話ID顯然不是攻擊,但是任何其他獲得此會話ID的人都是非常嚴重的owasp違例,可能會使攻擊者管理員訪問您的應用程序。 – rook 2011-05-14 05:34:22
相關問題
- 1. 如何防止在調試器異常
- 2. 如何防止會話
- 3. 如何查看Visual Studio 2008調試器中的會話變量?
- 4. 如何防止機器人在CodeIgniter中創建會話?
- 5. 的Joomla如何重新生成會話ID,以防止會話固定
- 6. 如何防止swf創建自己的會話ID?
- 7. 如何防止瀏覽器在調試時終止Flash插件
- 8. 如何防止在Netbeans中重複調試器
- 9. 防止會話ID在asp.net中的瀏覽器地址欄中出現
- 10. 如何防止Rails創建會話?
- 11. 如何防止會話超時
- 12. 如何防止managedBean會話超時?
- 13. ASP.NET MVC:如何防止會話鎖?
- 14. 如何防止Grails 3創建會話?
- 15. 如何防止tomcat會話劫持?
- 16. 在asp.net中防止會話超時mvc
- 17. 防止在CodeIgniter中替換會話
- 18. 如何防止HTTP會話在WebSocket打開時到期
- 19. Visual C++ 2005:如何在調試會話期間查看窗口
- 20. 如何防止XCode調試器停止對象代碼?
- 21. 會話ID在while循環中被覆蓋。如何預防它?
- 22. ASP.Net會話調試器
- 23. 防止mozilla會話恢復
- 24. 防止Citrix會話超時
- 25. AbstractAjaxTimerBehaviour防止會話過期
- 26. 防止會話劫持
- 27. Tomcat - 防止會話持續
- 28. 防止會話過期?
- 29. 如何防止類看到DLL文件
- 30. 阻止瀏覽器緩存會話ID
我不相信你可以。您最好的選擇是確保緩存的會話不能用於修改網站上的任何內容。 (例如:允許用戶保持登錄狀態,但需要密碼才能執行任何更改設置的操作。) – drudge 2011-05-13 17:31:08
我打算在用戶數據發生任何更改後重新生成會話,例如密碼更改,電子郵件更改等會殺死舊會話並創建一個新會話。 – 2011-05-13 17:34:47