【发布时间】:2013-09-08 10:13:42
【问题描述】:
我对会话的了解和了解是,对于所有会话 ID 劫持和其他东西,它们并不是真正可靠的。所以我决定我不会在我的项目中使用会话,我宁愿只使用普通的 cookie 并希望最好。
所以基本上我设置的有点像一个会话,但希望会更难破解。不幸的是,我似乎无法构建它难以破解。所以基本上我想这更像是一个安全问题,而不是 cookie 或会话之间的选择,但我似乎无法在任何纯文本中找到它。
我应该在会话 cookie 中散列什么以及如何散列?我读过散列算法可能会发生冲突,攻击者只需几秒钟就可以创建一个与 cookie 中实际存在的内容发生冲突的字符串,即使它可能不一样。我想我想问的是,将这些信息保存在 cookie 中的正确方法是什么,实际上我应该在那里存储哪些信息?
我知道基本上使用httpOnly 没有攻击者应该能够抓住一个cookie,但我想这个项目可能也可能不会使用SSL,所以有旧的点击方法可用。我知道我正在尝试在这里用木棍和石头建造一座摩天大楼,但仍然值得一试。
【问题讨论】:
-
这只是开篇的错误。
-
您害怕方法 A,因为您在某处读到它不可靠(不了解原因)。所以你转向接近 B,它本质上是不可靠的,现在问 SO 如何解决它。确实错了。
-
这就是人们戴锡纸帽子的原因,他们读到了 CIA 的心灵探测器。
-
您似乎很困惑,但是仅从问题中很难弄清楚您的困惑的根源。您能解释一下您要解决的具体问题吗? (例如,什么类型的攻击使您避免了会话处理?如果您正确设置系统,则不应发生会话劫持。)
-
会话的概念相当简单:不是将内容存储在 cookie 中,而是将它们存储在本地,为它们分配一个标识符,然后仅将其存储在 cookie 中。最终结果是相似的,但是窥探连接的用户或攻击者无法读取或操作数据,并且您的流量更少。会话中可能会出现很多错误,例如使会话标识符易于猜测,但使用 cookie 也会出错(或者更糟)。老实说,我想不出任何攻击比针对会话更难针对 cookie 发起的攻击。
标签: php security session cookies