PHP会话安全检查

Question

所以我一直在阅读会议，我不得不说，我很困惑。 看来会话就像安全明智一样“破碎”，为什么他们没有在会话代码本身中实现更多安全检查......

无论如何，我的问题。我发现这个网站有很多会话安全检查：https://wblinks.com/notes/secure-session-management-tips/通过它阅读它们中的大部分都是有意义的。然而，对我来说最让人困惑的是什么时候打电话给这些支票。

我是否在每个页面上调用这些支票？一方面它是有道理的，因为有人可以劫持或其他东西，每个页面上的会话对吗？另一方面，在每一页上完成这些检查会花费一些额外的时间，总的来说可能会增加加载时间？

---

此刻我有以下代码。

<?php

if ($_SESSION['_USER_LOOSE_IP'] != long2ip(ip2long($_SERVER['REMOTE_ADDR']) & ip2long("255.255.0.0"))
    || $_SESSION['_USER_AGENT'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['_USER_ACCEPT'] != $_SERVER['HTTP_ACCEPT']
    || $_SESSION['_USER_ACCEPT_ENCODING'] != $_SERVER['HTTP_ACCEPT_ENCODING']
    || $_SESSION['_USER_ACCEPT_LANG'] != $_SERVER['HTTP_ACCEPT_LANGUAGE']
    || $_SESSION['_USER_ACCEPT_CHARSET'] != $_SERVER['HTTP_ACCEPT_CHARSET']
    || !isset($_SESSION['MY_SERVER_GENERATED_THIS_SESSION'])) {


    // Destroy and start a new session
    sec_session_destroy(); // Destroy session on disk
    sec_session_start();

    // Log for attention of admin and re-authenticate user...
}

if ($_SESSION['SESSION_START_TIME'] < (strtotime("-1 hour")) || $_SESSION['_USER_LAST_ACTIVITY'] < (strtotime("-20 mins"))) {
    sec_session_destroy();
    //Expire session and re-authenticate user...
}

function sec_session_start() {
    setcookie("sid",            // Name
          session_id(),         // Value
          strtotime("+1 hour"), // Expiry
          "/",                  // Path
          ".serellyn.net",      // Domain
          true,                 // HTTPS Only
          true);                // HTTP Only

    // Store these values into the session so I can check on subsequent requests.
    $_SESSION['_USER_AGENT']           = $_SERVER['HTTP_USER_AGENT'];
    $_SESSION['_USER_ACCEPT']          = $_SERVER['HTTP_ACCEPT'];
    $_SESSION['_USER_ACCEPT_ENCODING'] = $_SERVER['HTTP_ACCEPT_ENCODING'];
    $_SESSION['_USER_ACCEPT_LANG']     = $_SERVER['HTTP_ACCEPT_LANGUAGE'];
    $_SESSION['_USER_ACCEPT_CHARSET']  = $_SERVER['HTTP_ACCEPT_CHARSET'];
    $_SESSION['MY_SERVER_GENERATED_THIS_SESSION'] = true;

    // Only use the first two blocks of the IP (loose IP check). Use a
    // netmask of 255.255.0.0 to get the first two blocks only.
    $_SESSION['_USER_LOOSE_IP'] = long2ip(ip2long($_SERVER['REMOTE_ADDR']) 
                                          & ip2long("255.255.0.0"));

    $_SESSION['SESSION_START_TIME'] = time();
    $_SESSION['_USER_LAST_ACTIVITY'] = time();

    sec_session_start();            // Start the PHP session 
}

function sec_session_destroy() {
    session_unset(); 
    session_destroy();
    session_start();
    session_regenerate_id(true);
}

我的上一个问题是，上面的代码是否有意义，或者您是否有任何建议可以使其更好或更少混淆。我应该在每个页面或几页上包含这个吗？

提前致谢

Answer 1

  

为什么他们没有在会话代码本身中实施更多的安全检查......

通常的“会话”模型是会话ID是一个强密码，泄露该ID的任何内容都被视为漏洞。

此处列出的其他标头不是秘密，并且可能在导致会话ID泄漏的许多相同方案中都是可伪造的。所以检查它们的好处不太明显;这样做只是对会话劫持漏洞的部分缓解。另一方面，存在明显的兼容性缺陷：

  

$ _ SESSION [＆＃39; _USER_AGENT＆＃39;]！= $ _SERVER [＆＃39; HTTP_USER_AGENT＆＃39;]

如果在会话中发生浏览器升级，用户代理可以更改，或者在某些情况下，如果用户安装或升级浏览器插件/扩展，则无需重新启动。

  

$ _ SESSION [＆＃39; _USER_ACCEPT＆＃39;]！= $ _SERVER [＆＃39; HTTP_ACCEPT＆＃39;]

接受标头将根据预期的资源类型而改变，因此如果您执行类似于从PHP提供图像的操作，这将会中断。

  

（$ _ SESSION [＆＃39; _USER_LOOSE_IP＆＃39;]！= long2ip（ip2long（$ _ SERVER [＆＃39; REMOTE_ADDR＆＃39;]）＆amp; ip2long（＆＃34; 255.255.0.0＆＃34; ））

这比精确的IP匹配更好，但移动用户从一个电信或wifi网络切换到另一个网络仍会中断。

您当然可以将这些标头中的更改用作启发式方法，例如，决定是否要求对特定敏感操作进行重新认证，或者通常是风险评级事务。但是当他们中的任何一个发生变化时立即打破会话会使某些用户使用您网站的体验更加糟糕。

这是一种权衡，每个应用程序可能需要不同的方法，并且可能需要将其与应用程序的使用的特定知识联系起来。因此，大多数会话的实现都没有。并且默认情况下不能这样做。