2
セッションIDをスニッフィングしないようにする方法はありますか?phpsession ID(隠蔽)
A
答えて
7
SID to the URLを追加しないでください。
httpsを使用してください。
(セッションクッキーのためhttponly flagを設定してください。)
+0
httonly = httponly cookieだけど、誰もがそれを理解してくれたと思う。 – Alfred
+0
+1、私はhttponlyフラグを認識していなかった –
+0
私はあなたが "スニッフィング"を定義する方法によると思うが、ジェフはしばらく前にhttponlyフラグについてブログを書いた。http://www.codinghorror.com/blog/archives /001167.html。クライアント側のスクリプトがセッションクッキーにアクセスする理由がないので、php.iniのsession.cookie_httponlyをOnに設定してください。 – VolkerK
1
をした場合、 "サーバとクライアントの間のすべてのネットワークトラフィック上でのリスニングのman-in-the-middle攻撃者によって盗聴"、あなたは意味 "嗅い" により、確かにhttpsを使用するだけです。
URLにSIDを追加するかどうかは違いがありません.SIDはまだCookieとして送信され、HTTPS上にない場合、そのCookieは暗号化されずに送信されます。
HttpOnlyのフラグは、XSS攻撃に対して非常にうまく保護 - ブログ記事にリンクされているVolkerK見る - ではなくスニッファ
に対しての(...それは動詞の場合)あなたは、おそらく明確に定義する必要がは、あなたがより多くの答えを得るために守ろうとしている攻撃者の一種。
関連する問題
- 1. スティッキーフッタ隠蔽コンテンツ
- 2. 隠蔽コンストラクタ
- 3. Vim隠蔽ハイライト
- 4. フッタ隠蔽コンテンツ
- 5. 隠蔽/表示部
- 6. スーパークラスの隠蔽メソッド
- 7. LinkedInの隠蔽/ショートURL
- 8. Javascriptでのデータ隠蔽
- 9. Pythonクラスのデータ隠蔽
- 10. ソースコードの暗号化/隠蔽
- 11. 自動隠蔽UINavigationBarとUIToolbar
- 12. Angular2隠蔽要素クラスメンバ
- 13. クッキーウォールと内容の隠蔽
- 14. オーバーライドと隠蔽方法
- 15. シートの保護と隠蔽
- 16. SAPUI5 SmartTable(sap.m.Table)隠蔽カラム
- 17. 起動後のQt +隠蔽ウィンドウ
- 18. Vaadin:Valoテーマメニューの隠蔽/サイズ変更
- 19. 情報隠蔽と関数プログラミングのコーディングスタイル
- 20. 防止サブメニュー隠蔽親Liは
- 21. Printf可変精度とゼロの隠蔽
- 22. Pythonの文字列のハッシュ(隠蔽)
- 23. IE7/8、jQuery、ソート可能、隠蔽コンテンツO.o
- 24. C++ステートマシンとファイル内の隠蔽クラス
- 25. 塩の場所、塩の隠蔽
- 26. いくつかのメニュー、隠蔽と隠蔽のための関数、コードレビューAngularJS、CSS、JS
- 27. 隠蔽と表示による文字列操作
- 28. フォルダ隠蔽ソフトウェアはどのように機能しますか?
- 29. Windowsフォーム用のドッキング可能な自動隠蔽パネルコントロール
- 30. jQuery前のオブジェクトの削除/隠蔽を追加する
これは悪い質問ではありませんが、それをさらに良くして少し飾りたいと思うかもしれません。 – VolkerK