PHP会话安全吗?

时间:2011-08-30 13:41:01

标签: php session security

现在我不关心数据传输 - 不是中间人,这是http和https的工作。

据我所知,PHP使用http cookie识别会话。但是,如果有人尝试暴力猜测会话ID会发生什么?

3 个答案:

答案 0 :(得分:2)

答案 1 :(得分:2)

Andreas Bogk在一年前提出了一些非常合理的建议,以解决PHP版本5.3.2及更早版本中会话密钥生成逻辑中的加密弱点,这使得PHP会话更容易受到“会话劫持”(似乎(而不是他们应该做的)。

并且Przemek Sobstel在4年前写了一个针对PHP会话机制的攻击类型(包括会话劫持)的通用目录,以及减轻它们的建议。从那时起,最新的PHP版本发生了多次变化,就像“威胁形势”一样。但是从那时起攻击类型没有太大变化,也没有推荐的最佳实践。

如果您想量化您的风险,那么您将不得不更精确地定义您的方案(实施,环境等)。

答案 2 :(得分:1)

  

但是,如果有人试图猜测会话ID会发生什么呢?

他们会衰老......