Каков наилучший способ предотвратить угон сеанса?

Question

В частности, это касается использования файла cookie клиентского сеанса для идентификации сеанса на сервере.

Является ли лучшим ответом использование шифрования SSL / HTTPS для всего веб-сайта, и у вас есть лучшая гарантия того, что ни один из атакующих в середине не сможет прослушать существующий файл cookie сеанса клиента?

И, возможно, лучше всего использовать какое-либо шифрование для самого значения сеанса, которое хранится в вашем файле cookie сеанса?

Если злонамеренный пользователь имеет физический доступ к машине, он все равно может посмотреть на файловую систему, чтобы получить действительный файл cookie сеанса и использовать его для кражи сеанса?

Answer 1

Защита от:

$ip=$_SERVER['REMOTE_ADDER'];
$_SESSEION['ip']=$ip;

Answer 2

Чтобы снизить риск, вы также можете связать исходный IP с сеансом. Таким образом, злоумышленник должен находиться в одной частной сети, чтобы иметь возможность использовать сеанс.

Проверка заголовков реферера также возможна, но их легче подделать.