私はこれを理解するのに苦労しています。私はウェブの悪用に対する私の無知は責任だと思います。セッション固定についての私の理解は次のようになります。regenerate_session_idはセッションIDを傍受する人のIDを再生成しませんか?
- ハッカーは、現在ログインしているユーザーのセッションIDを取得するためにいくつかのエクスプロイトを使用します。 が
- ハッカーがセッションを盗むし、効果的にログインし、サイトにアクセスするためのセッションIDを使用しています。
あなたがハッカーがセッションを傍受できる可能性を減らすためにregenerate_session_idを使用することをお勧めされています。今度は、regenerate_session_idをトリガーして、セッションIDでハッカーを更新しながら、元々ログインしていたユーザーを同時にログアウトしないでしょうか?これは、それが良い、より多くの害を引き起こすように思えるので、私はここに写真の何かを欠場する必要があります知っている。私は何が欠けていますか?
それはすべての要求 –
のセッションIDの変更は、私はまた、リクエストごとにセッションIDを変更読んだ場合、ハッカーが最初の場所でセッションをハイジャックすることができますという可能性を低下させる...それは助け望んでいるだろうそれは価値がない、それは私を混乱させる何か他のものです。強力なセキュリティを実施するのと比べてIDを再生成するのは本当にコストがかかりますか? – ACobbs