回答
其安全的假設,沒有什麼是安全的..
可以肯定的是,如果你認爲自己有偏執狂,並且最終會使用大量的腳本來登錄。 –
會話100%不安全。對於偏執狂與否,他們根本無法被認爲是安全的主要登錄方法。看看http://codebutler.com/firesheep會劫持你本地網絡上的會話 - 這是一個壞會話的例子。 –
@Mihail:很偏執。我希望收集關於我的數據的所有IT部門也都是偏執狂。但是,我必須假設他們不是。我必須假設除了我自己以外沒有人。你們沒有得到我的數據,脫下我的草坪。你,你和你。 –
但是如果有人試圖猜測會話id的暴力會發生什麼?
他們會老化......
不一定正確。 PHP在Entropy漏洞不足方面的歷史相當悠久(https://www.owasp.org/index.php/Insufficient_entropy_in_pseudo-random_number_generator)在安全漏洞數據庫中查看此搜索cvedetails http://cvedetails.com/google-search -results.php?cx = partner-pub-9597443157321158%3Advjtec -wfv5&cof = FORID%3A9&ie = UTF-8&q = php + entropy&sa = Search&siteurl = www.cvedetails.com%2Fcve%2FCVE-2008-4102%2F使一些應用程序變得更糟,然後播種微弱,例如Joomla http://www.cvedetails.com/cve/CVE-2008-4102/ – Cheekysoft
Andreas Bogk在一年前提出了一些非常合理的建議,以解決PHP版本5.3.2及更低版本中的會話密鑰生成邏輯中的加密弱點,這使PHP會話更容易受到「會話劫持」(這似乎是您的首要關注點)他們應該是。
和Przemek Sobstel寫了一個針對4年前PHP會話機制的攻擊類型(包括會話劫持)的通用目錄,以及緩解它們的建議。自那時以來,最新的PHP版本發生了多次變化,就像「威脅景觀」一樣。但從那時起攻擊類型並沒有太大變化,也沒有推薦的最佳做法。
如果你想量化你的風險暴露,那麼你將不得不更確切地定義你的場景(實現,環境等)。
+1提到這一點。 PHP的PRNG歷史相當麻煩。見col彈片答案中的評論。 – Cheekysoft
- 1. PHP的會話變量是否安全?
- 2. WCF會話是否安全?
- 3. PHP會話安全
- 4. PHP - 會話 - 安全
- 5. 我的登錄會話是否安全?
- 6. HTML5會話存儲是否安全?
- 7. 安全註銷PHP會話
- 8. PHP會話和安全
- 9. PHP REMOTE_ADDR和安全會話
- 10. PHP安全會話檢查?
- 11. php中的會話安全
- 12. PHP會話變量安全
- 13. PHP會話安全提示
- 14. PHP會話安全問題
- 15. PHP會話安全 - 金絲雀會議
- 16. 會話安全
- 17. asp.net會話安全
- 18. PHP ::: global $ config :::是否安全?
- 19. 智能PHP會話處理/安全
- 20. PHP/MySQL安全登錄和會話
- 21. 安全登錄按會話在php
- 22. PHP安全會話和用戶登錄
- 23. Codeigniter/PHP會話安全問題
- 24. PHP - 會話安全性和可靠性
- 25. PHP會話安全密鑰步驟
- 26. 如何設置安全的PHP會話
- 27. php中的安全會話/ cookie
- 28. 創建安全的PHP會話cookie
- 29. 使用Passport持久會話安全時,是否是authToken?
- 30. Rails:在「會話」中存儲數據是否安全?
你究竟在做什麼? – shibly
您可能對[this]感興趣...(http://phpsec.org/projects/guide/4.html)... – DaveRandom
我在php會話中存儲登錄的用戶標識。但我不知道會議是否安全。 – kravemir