Question

Безопасно ли использовать встроенный создатель сессии в PHP?Меня беспокоит то, что кто-то может перехватить cookie-файл с токенами на компьютере другого человека и установить их точно такой же, что заставит сервер думать, что это один и тот же человек.

Есть ли защита (например, проверка IP-адреса)) чтобы остановить это или я должен использовать что-то более безопасное?

Your Common Sense · Answer 1 · 11 сентября 2010

Да, теоретически возможно перехватить файл cookie с токеном на компьютере другого человека, но фактически каждый сайт в мире использует его.в том числе Stackoverflow.Если вы взломали мой файл cookie, вы можете войти в мою учетную запись.И что?

Paul Dixon · Answer 2 · 11 сентября 2010

PHP не выполняет проверку IP, по той простой причине, что он не будет работать 100% времени.

Так что да, вы можете захватить сеанс. Если вы хотите повысить уровень безопасности, вам нужно создать механизмы поверх этого. Посмотрите на http://phpsec.org/projects/guide/4.html для некоторых указателей.

ID создателя сеанса PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ID создателя сеанса PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов