我正在努力确保我的会议安全。在进行一些研究时,我估计基于Agent和IP的PHP的PHPSESSID +随机哈希足以防止劫持。你能做什么呢,真的。
我正在使用HTTPS进行登录。据我所知,来自PHP的会话数据永远不会发送给用户,而是存储在服务器端。客户端仅获取会话的ID。会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效。一切都很好,花花公子。
然而,有一个我在任何地方都找不到的细节。我想知道如果我使用HTTPS,包含PHP会话ID的cookie是否会自动标记为安全。我做了一些谷歌搜索,但似乎从来没有得到正确的搜索字符串,因为我只找到手动发送cookie的方法。我想知道,因为如果该cookie以明文形式发送,它将通过中间人来损害一些安全性。
这是@ircmaxell的补充
我尝试了你的方法,但是当我从HTTPS切换回HTTP时,我仍然得到了cookie。它的工作方式如下。只要服务器知道用户会话可用,它就会设置安全标志。这意味着整个站点在您登录后立即在SSL上运行,并且在您不使用SSL时拒绝放弃/使用cookie。或者至少,这就是想法。
if ($SysKey['user']['session_id'] != '') {
session_set_cookie_params(60*60*24*7, '/', $SysKey['server']['site'], true, true);
}
我认为我需要重新生成id,因为浏览器在登录前已经有了cookie,但由于我只能在几个小时内试用它,所以在尝试之前我会问这里
我刚刚发现你必须在开始会话之前设置这些设置。那是我的问题。我现在使用2个不同的cookie。一个用于通过http发送的常规访客,另一个用于仅通过ssl发送的登录用户。
答案 0 :(得分:10)
甚至不考虑滚动自己的会话处理程序!
PHP的会话已多次被破坏,因此它现在比以往任何时候都更加安全。当发现新问题时,它将很快修复,并且免费。 但是,您可能希望添加以下选项:
session.cookie_secure=True
session.cookie_httponly=True
session.use_cookies=True
session.use_only_cookies=True
答案 1 :(得分:7)
我认为您正在寻找的功能是session_set_cookie_params(...)。它允许您设置安全 cookie标志,使其仅为https。