私はセッションIDにキー入力されたDBバックアップユーザーセッションを使用するパブリックサイトで作業しています。セッションのハイジャックや改ざんを防止しようとしています。私がクライアントに返すセッションデータは、それ自体では価値が限られていますが、私は卸売の盗難を防止したいと思います。私はここで少し計画を策定しましたが、私はいくつかのフィードバックと批判をしたいと思います。セッションセキュリティ
- セッションが開始されると、クライアントにセッションのデータの一意のキーとハッシュが与えられます。
- その後の各要求で、クライアントはセッションキー+セッションデータのハッシュを送信します。
- セッションデータが変更された場合、クライアントにはセッションデータを反映した新しいハッシュ値が提供されます。
- データベースと一致しない不正なハッシュが要求された場合、セッションには侵害されたとフラグが立てられます。要求とそのセッションに対するすべての後続の要求により、侵害されたセッションをコピーすることによって新しいセッションが作成されます。新しいセッションは、セキュリティ監査のためにコピーされたセッションを参照します。
私は大規模な攻撃をスキャンするために侵害された要求を見ることができます。
事前に感謝します。
セキュリティは完全にタイトではありません...あなたのシステムをそれが破られた場合の費用。セキュリティがあまりにも高すぎると、コストがかかりすぎる可能性があります。 – Varkhan