我的网站100%依赖于会话变量
当您在服务器上登录时,它会将会话设置为客户端用户名,并且每个页面都会检查是否设置了用户名并使用该变量发布广告等等...但是如果有人破解该变量并将其更改为任何其他用户名他可以登录并删除所有内容,查看个人信息等
所以我的一个朋友告诉我使用SSL会阻止所有黑客嗅闻和劫持我的网站,是吗?因为我可能会更改我的服务器并且它没有SSL,所以我想知道它是否值得付费呢?或者如果他们是另一种解决方案
非常感谢 凯文
答案 0 :(得分:4)
你真的在问两个问题,一个是关于SSL而一个是关于会话的 - 所以,这里有两个答案:
会话通过为用户提供cookie并在服务器上存储会话变量列表来工作。在PHP中,该cookie默认名为PHPSESSID。如果你现在在浏览器中查看cookie,你可能会看到很多。该cookie的价值将是一堆难以猜测的乱码。设置会话变量时,例如$ _SESSION ['username'] ='kevin',“username = kevin”部分存储在服务器上。
如果攻击者可以猜测或获取该cookie,他们可以将其安装在浏览器上并变为“kevin”,除非您有其他对策。但是,对于用户将其会话更改为其他人,他们将不得不破解您的服务器以更改其中的会话文件。名称“kevin”永远不会发送给用户。
SSL不是一种神奇的安全解决方案,但如果您担心恶意用户正在查看或接管其他用户的会话,则可能值得投资。
网吧就是一个简单的例子。很多人聚集并使用WiFi。网页随处可见 - 即使你自己的身体。攻击者还可以捕获其他用户的网页,这很简单 - 这包括他们的会话令牌。它很简单,有一个名为FireSheep的程序,它成为许多网站的另一个用户点击操作。
SSL保护这些网页和会话cookie,以便只有服务器和授权用户才能读取它们。攻击者仍然可以捕获通过空中传输的数据,但这对他们来说只是喋喋不休。
答案 1 :(得分:0)
使用https加密发送的Cookie,包括会话Cookie。这非常安全。如果您的网站仍然可以通过http访问,他们仍然可以通过发送虚假会话cookie来对您的网络安全进行攻击,但您的安全非常安全,因为黑客在您使用https时无法轻松获得会话ID。