Quanto sono sicure le sessioni PHP?

Naviga le tue risposte
2

Dovrei preoccuparmi di proteggere le sessioni PHP per i miei utenti? Come fanno gli hacker a rubare le sessioni?

Le informazioni che gli utenti del mio sito possono visualizzare non sono per niente sensibili e se visualizzate o modificate da un hacker non danneggerebbero realmente gli utenti, ma li infastidirebbero.

La memorizzazione e il controllo dell'IP sono davvero necessari? Quanto è utile il controllo degli user-agent? Suppongo che sarebbe facile come inviare un'intestazione di user-agent.

    
posta ThatGuy343 03.10.2014 - 07:05
fonte

1 risposta

4

La sessione è solo un token generato casualmente che non è pratico da indovinare.

Esistono molti scenari in cui è possibile rubare sessioni come Cross Site Scripting (XSS) o sniffare il traffico se l'utente malintenzionato ha accesso a un networkin nodo tra client e server.

Per risolvere il problema XSS non è necessario avere problemi di convalida. Ciò significa un corretto controllo dell'input dell'utente e della codifica corretta se mostrati all'utente (convalida dell'output).

DEVI usare SSL se vuoi mitigare gli aggressori che annusano i token di sessione del tuo cliente.

Il controllo dell'IP è un altro livello di difesa, ma potrebbe dare problemi quando i client sono in roaming.

Se l'attaccante può rubare la sessione, può rubare anche l'agente utente.

    
risposta data 03.10.2014 - 07:32
fonte

Leggi altre domande sui tag

Un certificato autofirmato offre più protezione di una chiave pubblica? Pratica standard per la distribuzione del certificato del server per gli utenti