【发布时间】:2013-09-07 04:25:01
【问题描述】:
当用户登录我的网站时,我会在他的浏览器中添加一个加密的 cookie。当他回来时,我会检查各个方面,包括用户代理。
但似乎非常小的更改使此检查过时了。下面的例子。用户登录时第一个,用户稍后回来时第二个:
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.62 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36
Opera/9.80 (Series 60; Opera Mini/7.1.32448/30.3793; U; tr) Presto/2.8.119 Version/11.10
Opera/9.80 (Series 60; Opera Mini/7.1.32448/31.1325; U; tr) Presto/2.8.119 Version/11.10
Opera/9.80 (Android; Opera Mini/7.5.33361/31.1312; U; tr) Presto/2.8.119 Version/11.10
Opera/9.80 (Android; Opera Mini/7.5.33361/31.1325; U; tr) Presto/2.8.119 Version/11.10
Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329
Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329 Twitter for iPhone
出于安全原因,我想继续检查用户代理。但我也不想拒绝用户进行这样的更改。
PHP 服务器端的正确方法是什么?
(编辑:请注意,我使用盐和一些随机变量加密 cookie 内容。因此很难猜测 cookie 的内容。但是任何窃取 cookie 的人都可以将自己表现为另一种用途。但窃取 cookie 是另一种问题。但是带有会话ID的cookie也可以被窃取,这是另一个问题)
【问题讨论】:
-
出于安全考虑,我不会使用用户代理,它们很容易被愚弄。
-
检查用户代理是否从一个请求到下一个请求是有用的,但实际上只在同一个会话中,并且只是反会话劫持故事的一部分。浏览器会以随机间隔自动更新自己,因此通常您不能依赖用户代理字符串在会话之间保持一致。
-
UA基本没用。 -
不,我不只检查用户代理。正如我在问题中提到的,我检查了各个方面。我不想把它们写在这里。但用户代理是检查之一。我还用盐加密 cookie。
标签: php security cookies user-agent