1
私はすべてのアプリケーション全体でセッションを使用しています。私はそれらをはるかに安全にしたい。現在、$username = $_SESSION['username'];などのコードを使用しています。
セッションをより安全にする方法を教えてください。
A
答えて
4
最初に気にかけたいことは、Session Hijackingです。
コンピュータサイエンスでは、セッションハイジャックとは、有効なコンピュータセッション(セッションキーとも呼ばれることもあります)を利用して、コンピュータシステム内の情報やサービスに不正アクセスすることを指します。特に、これは、ユーザーをリモートサーバーに認証するために使用されるマジッククッキーの盗難を指すために使用されます。多くのWebサイトでセッションを維持するために使用されるHTTPクッキーは、仲介コンピュータを使用する攻撃者や犠牲者のコンピュータ上の保存されたクッキーへのアクセスによって容易に盗まれる可能性があるため、Web開発者にとって特に関係します(HTTP cookie theft参照)。
あなたのウェブサイトへの訪問者(アリス)は、セッションクッキーとセッションIDを持っている場合基本的な考え方は、(のは、それが12345だと仮定しましょう)、で、その後悪意のあるユーザ(マロリー)は、アリスのセッションIDを知ることができる場合JavaScript、トラフィックスニッフィング、ソーシャルエンジニアリング、またはその他の方法のいずれかを介して、Malloryはあなたのサイトをブラウズし、彼のセッションIDを12345に設定し、効果的にAliceになります。
これを防ぐ1つの方法は、すべてのリクエストでセッションIDを変更することです。これはPHP session_regenerate_id functionで行うことができます。すべての要求の冒頭でsession_start()
と呼び出した後、session_regenerate_idに電話することは非常に複雑なトピックであることにご注意ください。私はウィキペディアの記事を読んで、あなたがその問題を完全に理解できるようにすることを強くお勧めします。
EDIT:私はあなたのためのより多くの情報を入力することを約あったが、その後、私はあなたの質問は本当に重複of this StackOverflow questionであることに気づきました。私は出発点としてそれを読むことをお勧めしたいと思います。
-1
データベースでmd5バージョンのパスワードを使用し、md5でセッションパスワードを暗号化します。その結果、パスワードが正しい場合、これらの2つの値は同じになります。
2
これは、保護しようとするものによって大きく異なります。セッションに含まれる情報が公開または変更される可能性があることを心配している場合は、サーバーによってのみ表示および変更できるため、セッションに関する情報を心配する必要はありません。
あなたは何人かの人々が他の人のセッションを使用することができる可能性を心配している場合は、次の操作を行うことができます。
- はあなたのコードを分析し、あなたは何XSS欠陥がないことを確認してください。
- 訪問者がパブリックネットワークを使用している場合、セッションハイジャックを防ぐためにSSLを使用します。
- あなたのセッションはHTTPのみフラグに
+0
+1よりも、セッションIDを偽装するほうが簡単です!まあ、まあ、あなたが私の意味を知っている;-) – Josh
関連する問題
- 1. $ _SESSIONをより安全にする方法を教えてください。
- 2. System.Timers.Timerを安全に処分する方法を教えてください。
- 3. WPFデータバインディングリファクタを安全にする方法を教えてください。
- 4. 安全なJEXL(スクリプティング)サンドボックスの作成方法を教えてください。
- 5. データを安全に保存する方法と到達できない方法を教えてください。
- 6. JSchでセッションを長くする方法を教えてください。
- 7. Android Keystoreシステムの安全性について教えてください。
- 8. Firebase-queueからの応答を安全に削除する方法を教えてください。
- 9. 外部のJSライブラリでもGoogleアナリティクスを安全に初期化する方法を教えてください。
- 10. Dockerの画像を安全に削除する方法を教えてください。
- 11. ユーザー登録の確認メールを安全にする方法を教えてください。
- 12. 設定ファイルをPythonで安全にする方法を教えてください。
- 13. 行要素を幅全体にする方法を教えてください。
- 14. Installshield - CD全体をinstallshieldでビルドする方法を教えてください。
- 15. UIWindowをキーウィンドウにする方法を教えてください。
- 16. PHPセッションの開始を防ぐ方法を教えてください。
- 17. ポイントから消える方法を教えてください。
- 18. このPythonコードをより良く/よりエレガントにする方法を教えてください。
- 19. StdIn.isEmpty()をtrueに戻す方法を教えてください。
- 20. タブローを定義する方法を教えてください
- 21. ストリームフィルタをエコーする方法を教えてください。
- 22. オブジェクトをガベージコレクションする方法を教えてください。
- 23. ForeignKeyをモデル化する方法を教えてください。
- 24. Android - アイコンをタッチする方法を教えてください。
- 25. Eclipseプラグインをアンパックする方法を教えてください。
- 26. ImageViewCellをクリックする方法を教えてください。
- 27. Androidアプリをフリーズする方法を教えてください。
- 28. Edge.Funcを固定する方法を教えてください。
- 29. ImageView Androidをトリミングする方法を教えてください。
- 30. ジェンキンズを「ピップインストール」する方法を教えてください。
を使用しているあなただけの変数に値を代入していることを確認します。範囲外のこのコードはそれほど重要ではありません。なぜあなたのアプローチは安全ではないと思いますか? –
ログイン時にクライアントのIPアドレスとブラウザのUser Agentをセッション変数に格納することもできます。これにより、後続の各要求でこれを確認できます。 XSSのIPアドレス – dirkbonhomme