请参阅我在Stack Security上发布的问题,我正在使用
md5($this->_user_agent.self::SECURE_SESSION . $this->_ip_address);
用于生成会话指纹(以及作为每10分钟后重新生成会话ID的附加安全措施)。它看起来很好,但我想处理一个情况,当攻击者利用同一网络中的受害者[IP地址],使用相同的用户代理,并且还窃取了会话ID,现在我的上述检查将失败
我在谷歌搜索时找到的解决方案很少使用Flash Cookies or EverCookies or a jquery browser fingerprinting plugin。但所有这些都有其自身的优点和缺点。此外,我想避免使用Flash Cookies等(因为它违反了欧盟法律,同时也侵犯了用户的隐私)。
因此,作为一种解决方法,我稍微修改了我的指纹识别并在其中添加了php_uname(),PHP_OS。
现在我的上述指纹识别方法成了,
md5($this->_user_agent. self::SECURE_SESSION . $this->_ip_address.php_uname().PHP_OS);
我知道它也不是一个强大或完整的解决方案,但是添加两个更多的约束使我的指纹识别更安全或者根本没有影响吗?
PS:我在这里发布它而不是安全性,因为我认为达到了 statckoverflow更多。