现在我不关心数据传输 - 不是中间人,这是http和https的工作。
据我所知,PHP使用http cookie识别会话。但是,如果有人尝试暴力猜测会话ID会发生什么?
答案 0 :(得分:2)
可以安全地假设没有什么是安全的。
答案 1 :(得分:2)
Andreas Bogk在一年前提出了一些非常合理的建议,以解决PHP版本5.3.2及更早版本中会话密钥生成逻辑中的加密弱点,这使得PHP会话更容易受到“会话劫持”(似乎(而不是他们应该做的)。
并且Przemek Sobstel在4年前写了一个针对PHP会话机制的攻击类型(包括会话劫持)的通用目录,以及减轻它们的建议。从那时起,最新的PHP版本发生了多次变化,就像“威胁形势”一样。但是从那时起攻击类型没有太大变化,也没有推荐的最佳实践。
如果您想量化您的风险,那么您将不得不更精确地定义您的方案(实施,环境等)。
答案 2 :(得分:1)
他们会衰老......但是,如果有人试图猜测会话ID会发生什么呢?