Хороший метод предотвращения перехвата сессии?

Question

Сценарий. После запуска сеанса на моем сайте я генерирую токен rand, который один раз показывается пользователю.Скажите, что они «хранят» его для дальнейшего использования.Затем я вставляю md5 (токен) в SQL с меткой времени.Когда пользователь посещает другие страницы, такие как логин, ему нужно будет передать маркер через URL как часть процесса проверки.Я бы проверил, существует ли токен и, возможно, ОБНОВЛЕН ИДЕНТИФИКАТОР ИДЕНТИФИКАТОРА для этого токена.

Итак.Даже если кто-то украдет файл cookie пользователя PHPSESSID, разве он не принесет пользы хакеру, поскольку он не может получить доступ к любой из этих страниц, не зная токен?

Answer 1

Вы правы в том, что они не смогут получить доступ к страницам без токена, но в качестве дополнительного момента, иногда я хотел бы использовать отслеживание IP-адресов или отслеживание браузера, используемое одновременно.Смысл в том, что даже если кто-то получит cookie-файл PHPSESSID и токен, он должен будет исходить из того же источника IP, а также использовать тот же браузер.Опять же, это всего лишь средства безопасности от безвестности.

Я рекомендую, если вы действительно обеспокоены безопасностью, вы можете попробовать использовать соединение HTTPS.Надеюсь, это помогло.Ура! * * 1005