私は3日間、nodejs socket.ioサーバーのユーザー情報を正しく検証する方法、サーバーに渡すものだけを確認する方法、PHPSESSIDのようなクッキー、必要ならば等。nodejs socket.ioサーバーをクッキーの変更から保護する方法
私の質問は、PHPSESSIDのCookie値を友人のCookie値のように変更し、ソケットサーバー接続を再初期化すると、友人に送信されるはずのすべてのトラフィックが代わりに送信されます。
セッションを保存するためにmemcachedサーバーを使用しても、ユーザーを検証するのはセッションIDだけです。ユーザーセッションを検証する方法はありますか?
私はPHP Waveフレームワークを使用しているため、私はセッションストアの場所を変更できません。 socket.ioに代わる方法がありますが、より安全ですか?
これは、すべてのWebアプリケーションで予期される脆弱性です。あなたが誰かのクッキーを盗むことができるなら、それらを偽装することができます。 – Chris
この問題にはセッションハイジャックという名前があります。 – Federkun
@Federicoこんにちは、 'session_regenerate_id()'はセッションハイジャイクの解決策ですか? – mertizci