暴力会议有多可行?
我目前正在使用CodeIgniter数据库会话,它不使用本机PHP会话 - 会话cookie加密和用户代理匹配已打开。
假设我将会话过期时间设置为4个月,是否有人能够通过会话ID蛮力?不仅要接管会话,还要大量删除帐户中的内容,导致一般混乱等(CI的CSRF保护已启用)
我想给大多数用户一个持久的会话ID,匿名用户可以获得注册用户的大多数功能,比如喜欢的东西 - 类似于StackOverflow。
答案 0 :(得分:1)
Codeigniter会话DO NOT utilize naitive php sessions(无论是数据库还是其他方式),您可以使用config.php文件中提供的加密密钥启用会话加密,这将有助于您的安全问题...
答案 1 :(得分:0)
如果您的加密密钥冗长而复杂(我只是为我的CI加密密钥输入乱码),那么不,它可能不会像今天的技术那样强硬。如果您的密钥是字典单词和单词,那么可能会在4个月内发生。
除非您的网站受到广泛欢迎,否则我认为黑客不会浪费他的时间来攻击您的网站。总有人会比黑客首先瞄准更大,更好的人。