我想更好地理解suPHP。
我显然已经在google上找到了suPHP文档,并且已经找到了它的一般答案,但我很困惑它如何帮助提高会话安全性和防止会话劫持。
如果有人能为我澄清这一点,我将不胜感激。谷歌没有取得任何好成绩!
答案 0 :(得分:1)
suphp隔离了共享主机上的PHP进程。它允许在不同用户帐户下的每个虚拟主机上运行脚本。
通过使同一服务器上的共享帐户无法访问会话存储来帮助实现安全性。有时,PHP会话处理程序可能会使用一个全局可读的目录(请参阅session_save_path)来存储序列化的$_SESSION blob。 (例如/tmp/session/,这是一个开始的subpar配置)。 suphp这是受限制的。
然而,这对session hijackin一无所知,因为它源于HTTP数据包嗅探或跨站点脚本攻击。本地访问或只是读出会话存储目录是会话重放攻击的可能载体,但很少有。