我是否必须做一些特别的事情以避免session hijacking使用Kohana framework? 我假设会话仅使用Kohana Session库
进行操作答案 0 :(得分:6)
原生会话最容易被劫持,因为它们无法抵御cookie窃取。除了PHP提供的默认值之外,本机会话几乎没有应用安全性。为了更好的安全性,您应该添加用户代理或IP地址检查。
Cookie会话已加盐,并支持加密。您应该更改Cookie::$salt以提高安全性。
数据库会话还使用salted cookie存储会话ID,因此您应该更改salt。
编辑:您正在讨论v2,它会对会话应用更高的安全性,因为它扩展了本机会话。这种方法更容易出现奇怪的PHP问题,但提供了更高的安全性。检查会话配置文件以添加user_agent和ip_address检查。
答案 1 :(得分:0)
我会查看GitHub上的相关文件。
取决于您使用的驱动程序,例如本机或数据库,你可能想深入挖掘。
答案 2 :(得分:0)
为了更高的安全性,我会使用数据库会话并加密cookie(其中包含会话ID)。