Recentemente ho trovato le seguenti impostazioni di configurazione:
e ho alcune domande su di loro:
Usa la modalità rigorosa dice quanto segue :
session.use_strict_mode specifies whether the module will use strict session id mode. If this mode is enabled, the module does not accept uninitialized session ID. If uninitialized session ID is sent from browser, new session ID is sent to browser. Applications are protected from session fixation via session adoption with strict mode. Defaults to 0 (disabled).
La mia comprensione rudimentale è che crea sempre un ID di sessione per te, ma ho già visto un'altra opzione di configurazione con fa lo stesso. Quindi presumo che la mia comprensione sia sbagliata. Allora perché ne abbiamo bisogno? (Il più vicino che ho visto è che impedisce OWASP A9, ma non mi dà molte informazioni)
session.hash_bits_per_character :
allows you to define how many bits are stored in each character when converting the binary hash data to something readable. The possible values are '4' (0-9, a-f), '5' (0-9, a-v), and '6' (0-9, a-z, A-Z, "-", ",").
Da quanto ho capito, questo non contribuisce alla sicurezza, dice solo quali caratteri possono essere usati per la tua sessione. Più grande è il numero - più caratteri e quindi più piccola stringa. Quindi, perché non mettere 6
(invece di default 4
)?
Hash-funzione
Questo è chiaro, ma dalla grande lista di possibili funzioni , che è quello (presumo che il default md5
non sia buono) è preferibile?
P.S. prima di porre la domanda, ho letto questa risposta .