3
我只是好奇。我看到了會話ID正在更新的方法。我知道會話的重要性,但我沒有得到的是爲什麼會話ID正在更新。SESSION ID:爲什麼需要更新?
在CodeIgniter(PHP框架)中,默認情況下會話ID每5分鐘更新一次。這是我們在這裏討論的安全問題嗎?只是想知道。感謝無論誰回答! :)
A
回答
2
它必須經常更新。
可以說你登錄到一些在線烘焙網站。當然你有一個獨特的會話ID會話。但是,如果不經常更新,有人可以使用一些XSS技巧來獲取會話ID,將您的會話ID插入到他的瀏覽器中,然後poof!他使用您的憑據登錄!
和服務器將永遠不會知道你不再是誰了,因爲他使用了你自己的會話ID,所以訪問這個站點的人是誰。
+0
這實際上是我一開始就在想的。感謝您的驗證。 :) – user979023 2012-02-29 16:06:45
0
的主要原因是爲了防止會話劫持。在這個維基百科article上列出了劫持會話的方法。到prevent session fixation,這篇文章很好。
通過刷新會話ID,任何被盜的會話ID對攻擊者來說都不會很有用。在您的示例中,竊取會話ID可能需要超過5分鐘的時間,在此之後,由於它已過期而無用。
通過竊取您的會話ID,攻擊者將承擔您的身份並執行您允許執行的任何操作。
0
相關問題
- 1. 爲什麼session在jsp會話超時後有session id?
- 2. 爲什麼更新到DLL需要重新編譯,有時不需要?
- 3. 爲什麼在保存更改後需要更新Radiant CMS?
- 4. 爲什麼SQL語句需要更新更多記錄?
- 5. 爲什麼需要
- 6. qtsql-querymodel-editablesqlmodel:爲什麼需要刷新?
- 7. 爲什麼ofstream需要刷新?
- 8. 爲什麼$ scope。$應用需要更新此陣列
- 9. CouchBase Lite - 更新文檔 - Android,爲什麼需要「properties.putAll(..)」?
- 10. SOAP - 爲什麼需要查詢更新的原始值?
- 11. 爲什麼需要typedef GLXContext?
- 12. 爲什麼Apache需要SSLCertificateKeyFile?
- 13. 爲什麼android需要jvm
- 14. 爲什麼BizTalk需要MSDTC?
- 15. 爲什麼需要StaticResource?
- 16. 爲什麼wcf duplex需要?
- 17. 爲什麼需要EndExecuteNonQuery()?
- 18. Bootstrap爲什麼需要jQuery?
- 19. 爲什麼PhotoCamera需要VideoBrush?
- 20. 爲什麼Grails需要Xerces?
- 21. 爲什麼需要std :: minmax_element?
- 22. 爲什麼需要session_ destroy()?
- 23. 爲什麼HttpClient需要httpasyncclient?
- 24. 爲什麼需要copy_to/from_user?
- 25. 爲什麼需要ReaderLock?
- 26. 爲什麼我需要MEX?
- 27. 爲什麼需要load_ptr_acquire?
- 28. 爲什麼active_support需要sinatra
- 29. 爲什麼lsyncd需要xnu?
- 30. 爲什麼需要Control.Invoke?
防止['session-fixation'](http://en.wikipedia.org/wiki/Session_fixation)等等。 – Wrikken 2012-02-24 12:27:55