私はこれを理解するのに苦労しています。私はウェブの悪用に対する私の無知は責任だと思います。セッション固定についての私の理解は次のようになります。regenerate_session_idはセッションIDを傍受する人のIDを再生成しませんか?
あなたがハッカーがセッションを傍受できる可能性を減らすためにregenerate_session_idを使用することをお勧めされています。今度は、regenerate_session_idをトリガーして、セッションIDでハッカーを更新しながら、元々ログインしていたユーザーを同時にログアウトしないでしょうか?これは、それが良い、より多くの害を引き起こすように思えるので、私はここに写真の何かを欠場する必要があります知っている。私は何が欠けていますか?
session_regenerate_idは、ハイジャックが通常セッションIDを盗まれた後の後のステップで発生するため、セッションのハイジャックを防ぐ良い方法です。例えば
:
もし何らかの理由で固定が生きていて、自動化されたプロセスのように非常に高速になるなら、そうではありません。これはユーザーを節約しません。このため、session_regenerate_idだけでなく、ユーザーのIPアドレスにも依存する必要があります。明らかに
if(!session_id()){
session_start();
if(!isset($_SESSION['user_ip'])){
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
}
if($_SESSION['user_ip'] !== $_SERVER['REMOTE_ADDR']){
exit('highjacking detected, session terminated');
}
session_regenerate_id();
}
ハックは、このような職場と同じネットワークから来ている場合は、IP検出はそうあなたもUserAgentのチェックを使用することができます動作しません。しかし、これはあなたのデータの感度に応じて少し過剰なものになっています。
は
session_regenerate_id()は、最初の引数をtrueに設定して呼び出す必要があります。そうしないと、攻撃者はデフォルトでは削除されていないので、古いセッションIDを引き続き使用できます。 –
@AudunLarsen感謝はそれを知らなかった:S –
それはすべての要求 –
のセッションIDの変更は、私はまた、リクエストごとにセッションIDを変更読んだ場合、ハッカーが最初の場所でセッションをハイジャックすることができますという可能性を低下させる...それは助け望んでいるだろうそれは価値がない、それは私を混乱させる何か他のものです。強力なセキュリティを実施するのと比べてIDを再生成するのは本当にコストがかかりますか? – ACobbs