如何保护session_id？

Question

我打算不为我的网络应用使用HTTPS。我使用摘要式身份验证作为保护登录系统的方法。在用户进行身份验证后，我只需定期向他们发送nonce（1分钟）。当用户发出请求时，我只是在发送响应之前检查nonce是否过期。

我想知道在攻击者重播nonce或猜测nonce生成机制的情况下是否有必要保护用户session_id？如果是，我如何保护session_id？

Answer 1

查看Session Hijacking和Fixation

Session Hijacking / Fixation的最佳解决方案是：

• 在关键点重新生成会话标识符。在用户登录后的情况下。因此，在用户登录后，我们会给他一个新的会话标识符。 因此，如果黑客劫持了会话ID，那将是无用的 不行。
• 保存用户代理/ IP地址并与之进行比较 登录前使用的用户代理/ IP地址。黑客不会拥有与合法用户相同的用户代理/ IP地址。但请记住，用户代理/ IP地址有时可能是伪造的。
• 最后但并非最不重要的是，定期销毁旧会议。

记住这些，您的程序将不会受到会话劫持/修复。