在PHP中关闭session.cookie_secure的后果

时间:2011-02-14 15:15:07

标签: php security

在安全连接下关闭PHP中的“session.cookie_secure”会带来哪些安全风险?由于我无法访问从https页面到http页面的会话数据,所以我很想关闭它。

1 个答案:

答案 0 :(得分:4)

风险是cookie数据通过普通HTTP传输。任何在网络上嗅探数据包的人都可以查看cookie中的数据。然后,他们可以伪装成你(Session Fixation)。

现在,有人会争辩说,如果有人可以在网络上嗅探数据包,那么他们就可以执行MITM攻击了,所以这不是什么大问题。然而,这不是100%正确。看看谷歌发生了什么。他们能够在不实际损害网络的情况下嗅探原始WIFI流量(这是MITM攻击所必需的)。通过HTTP发送Cookie可以打开session hijacking攻击,如果您将它们保留为HTTPS,则只会出现这些攻击。

如果您需要安全访问权限,请保持secure_only设置。如果您不关心数据(或使用多种因素,或者想要冒险),请将其打开...

一种可能的解决方法是使用自定义错误处理程序,并设置2个会话标识符(一个是secure_only)。然后,您可以通过两者“登录”,但需要安全的重要数据(例如访问重要数据。这需要一些工作才能正确完成,但可能是解决问题的一个很好的解决方案......