Сеансы перебора

Question

Насколько это возможно для грубых силовых сессий?

В настоящее время я использую сеансы базы данных CodeIgniter, которые не используют собственные сеансы PHP - шифрование файлов cookie сеанса и сопоставление агента пользователя включены.

Скажем, я установил срок окончания сеанса на 4 месяца, сможет ли кто-нибудь перебрать их через идентификаторы сеанса? Не только для смены сеансов, но и для массового удаления вещей из учетных записей, причинения общего вреда и т. Д. (Защита CSRF от CI включена)

Я хотел бы дать большинству пользователей длительный идентификатор сеанса, где анонимным пользователям предоставляется большая часть функциональности зарегистрированного пользователя, например, любимые вещи - подобно StackOverflow.

Answer 1

Codeigniter Sessions НЕ используют простые php-сессии (будь то база данных или иное), поэтому вы можете включить шифрование сеанса с помощью ключа шифрования, предоставленного в Ваш config.php файл, который поможет с вашими проблемами безопасности ...

Answer 2

Если ваш ключ шифрования длинный и сложный (я просто набираю gibberish для своих ключей шифрования CI), то нет, я бы сказал, что он вряд ли поддается грубому обращению с современной технологией.Если ваш ключ - это словарное слово и / или слова, то да, это может произойти через 4 месяца.

Если ваш сайт не пользуется огромной популярностью, я не думаю, что хакер будет тратить свое время на взлом вашего сайта.,Всегда есть кто-то крупнее и лучше, чем вы, хакеры, нацелитесь первыми.