这是一个由ajax驱动的应用程序的安全身份验证系统吗?

时间:2010-07-27 09:07:07

标签: php security authentication session session-hijacking

我提前道歉,因为我不善于解释事物或流程图。这不是特定的代码问题,而是会话安全性的一般问题。

我正试图尽快消除尽可能多的潜在问题。我认为这会照顾:

  • CSRF
  • 会话固定
  • 会话预测
  • Cookie被盗(通过浏览器漏洞)
  • Session sidejacking

如果攻击者的IP和用户代理头都与经过身份验证的用户相同,我意识到会话仍然可以被劫持。我想要做到那个防弹,你需要SSL吗?

如果你能用下面的clusterfuck说出我想说的话,我将不胜感激。这或多或少是我正在做的事情:

编辑 - 我遇到的另一个问题:假设用户不会有足够频繁更改的IP地址会导致问题变得安全吗?

flow chart

1 个答案:

答案 0 :(得分:2)

这看起来很好,虽然您需要弄清楚如何处理应该在会话过期时返回JSON或XML的AJAX请求。

不,假设IP地址保持不变是不安全的。虽然几乎已经死了,但AOL因此而臭名昭着,他们会使用20-30个代理服务器来查询您的HTTP服务器以获得单个拨号客户端。

SSL是必须的,现在证书非常便宜 - 这应该可以缓解所有问题。 “中间人”袭击。

相关问题
最新问题