我正在codeigniter中开发一个具有用户授权信息的博客应用程序。但是,在查看config.php文件时,我发现了这两个变量
$config['sess_expiration'] = 7200;
和
$config['sess_time_to_update'] = 300;
来自文档'sess_expiration' = the number of SECONDS you want the session to last.
和'sess_time_to_update' = how many seconds between CI refreshing Session Information
在7200秒的过程中,应用程序将收到24个新会话ID。这是否会提高应用程序的安全性?。
答案 0 :(得分:2)
不确定CodeIgniter,但更改会话ID的原因通常是阻止session fixation attacks。它们包括向目标发送带有会话ID的链接的人。如果在目标登录后保留此会话ID,则攻击者可能会在id已知时劫持会话。但是为了减轻这种类型的攻击,登录时更改id就足够了。我认为CI此时还会更新一些元数据,例如上次访问时间,更重要的是,重置过期计数器,以便用户的会话在活动站点使用期间不会过期。