セッションのハイジャックなどを防ぐことはできますか?そうでない場合は、私のPHPセッションを安全にするために何ができますか?セッション変数を暗号化するセキュリティ上の利点はありますか?
答えて
クライアントに送信されるのはセッション識別子であり、セッション変数ではありません。これらのセッション識別子は、通常、クライアントのクッキーとして設定されます。もちろん、ユーザーがブラウザやクライアントからセッション識別子(たとえば、クロスサイトスクリプティング攻撃を使用して)を取得した場合は、自分のクライアントでセッション識別子を設定し、他のユーザーとして偽装できます。
ただし、セッション変数は通常$_SESSION
の配列の値を参照します。例については、http://www.php.net/manual/en/function.session-start.phpを参照してください。これらの値は、ネットワーク経由でクライアントに送信されることはありません。
セッション識別子を保護する限り、最初の段落ではブラウザでクッキーとして保存されていることをすでに説明しました。 HTTPセッションでは、クッキーはサーバーとクライアントの間で平文で送信されます。これは盗聴に対して脆弱です(例えば、パケットを通過させるルータ上の人があなたのパケットをキャプチャし、そこからセッション識別子を読み取る可能性があります)。この問題を克服する最善の方法は、代わりにHTTPSを使用することです。
「セキュリティ上のメリット」という意味にかかっていると思います。アプリケーションが共有ホスト上にあり、セッションデータが他のユーザーが読むために開かれている安全でない中央の場所に保管されている場合は、はいというように、技術的にはセッションを暗号化することでいくつかの利点があります。しかし、あなたの時間と労力を単にwrite your own session storage mechanismにする方がはるかに優れているので、最初は安全でない場所に保存しないでください。特に暗号化を行うのがどれくらい簡単かは完全に間違っていますとセキュリティの誤った感覚を与えます。
- 1. AES暗号化でランダムなデータをパディングする利点はありますか?
- 2. CodeIgniterでセッション変数の暗号化を手動で有効にする必要がありますか?
- 3. 春のセキュリティ暗号化MD5
- 4. これをコード化するのにパフォーマンス上の利点はありますか?
- 5. node.js:暗号化する必要があるデータを暗号化しますか?
- 6. PDO :: queryとmysql_queryを使用することによるセキュリティ上の利点はありますか?
- 7. APNSトークンを暗号化する必要がありますか?
- 8. スタンフォードJavascript暗号化ライブラリのPHPポートはありますか?
- 9. 暗号化されたパスワードのセキュリティ
- 10. IoTソリューションの暗号化/セキュリティ戦略
- 11. Azureサービスパッケージを暗号化するために暗号化がどの程度信頼性がありますか?
- 12. Java暗号化とForce.com頂点暗号化
- 13. Laravel暗号化の暗号を変更します。
- 14. POST/GET変数を送信する前に暗号化する方法はありますか?
- 15. Java - インライン化コードには利点がありますか?
- 16. set_include_pathを使用すると、セキュリティ上のリスクや不利な点がありますか?
- 17. DES暗号化からRSA暗号化への変換
- 18. mcryptでバイナリmp3を暗号化/復号化するmimetypeがありません
- 19. サーバーから暗号化し、クライアントで暗号化を解除します(クライアントでは暗号化しません)。
- 20. PHPでオブジェクトを使用するとパフォーマンス上の利点はありますか?
- 21. NSUserDefaultsのセキュリティ保護されていない点は何ですか?手動暗号化は安全ですか?
- 22. 暗号化をサポートするWindows用のオープンソースファイルシステムはありますか?
- 23. SQLiteのセキュリティオプションは、データベースを暗号化する必要がありますか?
- 24. Android:暗号化による文字列のセキュリティの強化
- 25. Twofish暗号化/復号化のためのActionScriptライブラリがあります
- 26. コアデータデータベースを暗号化または部分的に暗号化しますか?
- 27. 暗号化 - 同じ変数を復号化 - PHP
- 28. 暗号化ロジックに問題がありますか?
- 29. Java Webアプリケーションの暗号化/復号化/鍵ローテーションに関する既存の方法はありますか
- 30. Javascriptの暗号化とセキュリティ:内部リクエストURLの検査は避けますか?
+1 ...これは質問によく答えると思います。セッション変数自体は公開されていません(あなたがそれらを公開する何かをやっていない限り)。しかし、普遍的なtmp /セッション記憶場所がある設定の悪い共有ホストにいると、サーバ上の他のサイトがそれらへのアクセス。 –