我在登录系统上工作,一旦他登录就为用户创建了一个会话。我试图让系统尽可能安全。我发现一些声称session_start()本身不安全的资源,建议采取额外措施来保护它。请参阅:How to create bulletproof sessions和Secure login system with PHP and MySQL。我和WireShark一起玩,看到在我使用HTTP连接时找到登录凭据(用POST发送)和cookie是多么容易。我让网站自动重定向到HTTPS,现在我无法找到凭据(旁注:“加密握手”是什么意思?)。我看到this帖子,它说
没有安全cookie这样的东西,除非它只通过SSL传输。
因此,我认为使用HTTPS足以实现安全登录系统。正在使用session_start()并且只有在我使用HTTPS连接时才安全,或者我是否需要添加更多安全措施?
答案 0 :(得分:1)
HTTPS和session_start()正在解决两个不同的问题。 HTTPS可以防止middle man attacks的概率。会话管理哪个用户具有执行什么(以及用户)的凭据。在攻击PHP会话时,通常通过暴力破解或通过浏览器导出或通过受感染的计算机来完成。 PHP是一个开源项目,这意味着任何人都可以查看他们在创建会话时使用的算法。黑客用它来排除所有不必要的检查可能性并根据会话攻击某人。创建你自己的网站会让你的网站变得更难被破解(假设你的身份已经足够长了等等)。话虽如此,除非我正在写一个银行网站,否则我不会打扰。