3
セキュリティ上の理由から、session_name()関数を使用してデフォルトのphpsessidの名前をハッシュまたは暗号化されたIDに変更することは価値がありますか?phpsessid - セッション名をハッシュ値とビジター固有の値に変更する価値はありますか?
もしそうなら、それを実装する最良の方法は何ですか?
おかげで、
A
答えて
1
あり、ウェブ上でこのことについて書かれたたくさんだ、と私はStackExchangeに読んだ前の質問。あなたのsession_idを暗号化するだけで、元の乱数と同じように容易にハイジャックする別の乱数が作成されます。
セッションを暗号化する場合は、session_idを新しい番号に再割り当てするか(何も達成していない場合)、またはスクリプトで暗号化/復号化機能を使用します。
後者の方法を使用して、別のユーザーが暗号化したセッションIDを取得すると、スクリプトによって復号化され、アクセスは引き続き許可されます。
要するに、session_idをそれ以上割り当てられた乱数の上にさらに暗号化するには、実際の効用はほとんどありません。
関連する問題
- 1. 固有値ブロックは左辺値ではありませんか?
- 2. 外部キーオブジェクトに固有のID値がありますか?
- 3. パスワードを何度も繰り返しハッシュする価値がありますか?
- 4. 割り当て前に値を確認する価値はありますか?
- 5. Laravel 5.4変更$ redirectToの値は、セッション値にログインします
- 6. IIS7で動的圧縮を有効にする価値はありますか?
- 7. スペクトルクラスタリング固有ベクトルと固有値
- 8. int値のPreparedStatementを作成する価値はありますか?
- 9. オリエンテーション固有の値は変更されません
- 10. ApacheをVFS 2.0にアップグレードする価値はありますか?
- 11. Compact Frameworkをストレージカードにインストールする価値はありますか?
- 12. ビニング固有値に
- 13. 匿名オブジェクトのプロパティで値を変更する方法はありますか?
- 14. リファレンスによるハッシュのRuby変更値
- 15. 固有値
- 16. VLOOKUPとカウント固有の値
- 17. SalesForce/Apexに投資する価値はありますか?
- 18. 固有値ソルバのVectorから値を取得する
- 19. CMSを最初から作る価値はありますか?
- 20. ASP.NETでDebug.Assertを使用する価値はありますか?
- 21. Silverlightフレームワークを使用する価値はありますか?
- 22. XMPPサーバーをカスタマイズする価値はありますか? (対クライアントワーカー)
- 23. BLOBを圧縮する価値はありますか?
- 24. カスタムプロファイルプロバイダを作成する価値はありますか?
- 25. localtime_r()をキャッシングする価値はありますか?
- 26. 固有ベクトルの絶対値を変数
- 27. sklearnスペクトルクラスタリングから固有値と固有ベクトルを取得する方法は?
- 28. 固有値の固有ベクトル行列
- 29. ここにプライベートメンバーの価値はありますか?
- 30. ASP.NET MVCを調べる価値はありますか?
http://phpsec.org/projects/guide/4.htmlを読むことをお勧めします。 –