Страницы

Поиск по вопросам

воскресенье, 22 декабря 2019 г.

Безопасность сессий в PHP?

#php #сессия #безопасность 


В очередной раз работаю с сессиями в PHP и вдруг возникло ряд такий вопросов:

А насколько они безопасны в данном
   языке,какова вероятность их
   подделать?
Каковы средства защиты(в php),кроме привязки
   к ip и браузеру?
Может кто-нибудь интересовался этим
   вопросом и у него есть готовые ответы
   или ссылки на статьи?


Ответы

Ответ 1


Как Вы знаете, сессии базируются на куках. Идентификатор сессии записывается в куки
и по нему подымается сессия.
Никто не застрахован, что кто-то "подсмотрит" Ваш идентификатор и применит его в
своих целях. Применяют дополнительные меры предосторожности, как Вы уже упомянули -
привязка к IP и к User-Agent. Полной гарантии безопасности сессий не существует. На
порядок безопасность повышает SSL (https) на сайте- это наверное единственная рекомендация,
которую можно дать. 
P.S.: А почему мой ответ отобразился как "Сообщество Хешкод" ? :)


Ответ 2


сессии привязываются к конкретному браузеру, создается уникальный id и записывается
в переменную PHPSESSID. обратно она возвращается двумя путями через cookies и GET либо
POST запросом. в связи с этим сессию подделать можно.
можно дополнительно пользоваться одноразовыми токенами, которые усложнят доступ к сессии.
здесь достаточно подробно расписано о принципе действия сессий. Сессии в PHP


Ответ 3


Если украсть куки и подставить (если нет других мер защиты, типа привязки по IP),
то сессия будет украдена.

Автор: на
Ярлыки: , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)