會議暴徒強迫

Question

暴力會議有多可行？

我正在使用CodeIgniter數據庫會話，它不使用本機PHP會話 - 會話cookie加密和用戶代理匹配處於打開狀態。

假設我將會話過期設置爲4個月，是否有人能夠通過會話id強制他們的方式？不僅要接管會話，還要大規模地刪除帳戶中的東西，引起普遍的混亂等（CI的CSRF保護已打開）

我想給大多數用戶一個持久的會話ID，其中匿名用戶最多的註冊用戶的功能，像喜歡的東西 - 類似於StackOverflow。

Answer 1

笨會議DO NOT utilize naitive php sessions（無論是數據庫或其他方式），因此你可以在會話加密使用您的config.php文件中提供的加密密鑰，將您的安全顧慮幫轉...

Answer 2

如果你的加密密鑰冗長和複雜（我只是爲我的CI加密密鑰輸入亂碼）然後不，這可能不會像今天的技術那樣強悍。如果你的鑰匙是字典或單詞，那麼是的，它可能會在4個月內發生。

除非您的網站非常受歡迎，否則我認爲黑客不會浪費他的時間來攻擊您的網站。總有人會比黑客首先瞄準的人更大更好。