6
Örneğin, oturumları ele geçirmeyi engeller miydi? Eğer değilse, php oturumlarımı güvenli hale getirmek için ne yapabilirim?Oturum değişkenlerini şifrelemek için herhangi bir güvenlik avantajı var mı?
A
cevap
13
İstemciye gönderilen, oturum değişkenidir ve oturum değişkenidir. Bu oturum tanımlayıcıları genellikle istemcide bir çerez olarak ayarlanır. Tabii ki, kullanıcı tarayıcı veya istemciden oturum tanımlayıcısını (örneğin, çapraz site komut dosyası saldırısı kullanarak) ele geçirirse, oturum tanımlayıcısını kendi istemcisinde ayarlayabilir ve diğer kullanıcı olarak taklit edebilir.
Oturum değişkenleri, genellikle $_SESSION dizisindeki değerlere başvurur. Örnek için http://www.php.net/manual/en/function.session-start.php'a bakın. Bu değerler ağ üzerinden istemciye asla gönderilmez. Oturum tanımlayıcılarının korunmasıyla ilgili olarak, ilk paragrafta tarayıcıda çerez olarak saklandıklarını daha önce açıklamıştım. Bir HTTP oturumunda, çerezler sunucu ve istemci arasında açık metin olarak iletilir. Bu, dinlenmeye karşı savunmasızdır (örneğin, paketlerinizin geçişi, paketlerinizi yakalayabilen ve oturum tanımlayıcısını okuyabilen bir yönlendiricideki bir adam). Bu sorunun üstesinden gelmenin en iyi yolu, bunun yerine HTTPS kullanmaktır.
0
Sanırım "güvenlik parası" ile ne demek istediğine bağlı. Uygulamanız paylaşılan bir ana bilgisayardaysa ve oturum verileriniz diğer kullanıcıların okuması gereken bazı güvensiz merkezi konumlarda tutuluyorsa, evet, teknik olarak oturumlarınızı şifrelemek için bazı güvenlik avantajları vardır. Ancak, zamanınızı ve çabanızı write your own session storage mechanism numaralı telefondan çok daha iyi kullanabilmeniz, böylece onları ilk etapta güvensiz bir yerde saklamamanız; Özellikle şifrelemeyi yapmanın ne kadar kolay olduğu tamamen yanlış ve kendinize yanlış bir güvenlik hissi verir.
İlgili konular
- 1. Scala için silme işleminin herhangi bir avantajı var mı?
- 2. Tip sınıflarında tip kurucuların herhangi bir avantajı var mı? örneğin
- 3. Raylar için herhangi bir güvenlik testi eklentisi var mı?
- 4. Güvenlik: Kullanıcıların oturum değişkenlerini adlandırabilmeleri için yanlış olan ne olabilir?
- 5. Moodle için herhangi bir API var mı?
- 6. Objective-C'deki işlevler üzerinde blokları kullanmanın bir avantajı var mı?
- 7. Malloc() ve memset() yerine calloc() kullanmanın herhangi bir avantajı var mı?
- 8. Denetleyici düzeyinde yetkisiz cancan eylemlerini test etmenin herhangi bir avantajı var mı, yoksa bu gereksiz mi?
- 9. Sitemdeki güvenlik açıklarını test edebilmem için herhangi bir SQL enjeksiyon aracı var mı?
- 10. Mapper vs Implicit Operators kullanmanın bir avantajı var mı?
- 11. Oturum zaman aşımı için bir symfony2 olayı/işleyicisi var mı a.k.a oturum açmadı
- 12. Bahar Roo için Thymeleaf için herhangi bir ekleme var mı?
- 13. Bir sihirbaz oluşturmak için herhangi bir desen var mı?
- 14. Nesne üyesi değişkenini yerel olarak bir yöntemde atama avantajı var mı?
- 15. "Vurgulu" kodun herhangi bir yolu var mı?
- 16. Herhangi bir FACEBOX alt türü var mı?
- 17. Herhangi bir İşleme programı profiler var mı?
- 18. Tomcat'e herhangi bir IIS eşdeğeri var mı?
- 19. iOS'ta Android'in herhangi bir karşılığı var mı?
- 20. PLINQ'in herhangi bir faydası var mı?
- 21. Herhangi bir IPMI simülatörü var mı?
- 22. xcode'ta blok değişkenlerini otomatik tamamlamanın kolay bir yolu var mı?
- 23. Herhangi bir ücretsiz php tarayıcı var mı?
- 24. Herhangi bir guava genel görünümü var mı?
- 25. Herhangi bir ccTalk kütüphanesi var mı?
- 26. Herhangi bir Clojure DSL var mı?
- 27. Herhangi bir standart silme functor var mı?
- 28. Herhangi bir GMP logaritma fonksiyonu var mı?
- 29. Herhangi bir sprite koleksiyonunu bilen var mı?
- 30. Çevresinde herhangi bir ScalaConsole var mı?
+1 ... Bence bu soruya daha iyi cevap veriyor. Oturum değişkenleri kendilerini açığa çıkarmaz (sürece maruz kaldığınız bir şey yapmadığınız sürece). AMA Eğer genel olarak bir tmp/oturum depolama yeri olduğu kötü yapılandırılmış bir paylaşılan ana bilgisayardaysanız, sunucudaki diğer siteler onlara erişim. –