6
क्या यह रोक देगा, उदाहरण के लिए, सत्र अपहरण? यदि नहीं, तो मेरे PHP सत्र सुरक्षित करने के लिए मैं क्या कर सकता हूं?क्या सत्र चर को एन्क्रिप्ट करने के लिए कोई सुरक्षा लाभ है?
A
उत्तर
13
क्लाइंट को क्या भेजा जाता है एक सत्र पहचानकर्ता है और सत्र चर नहीं है। ये सत्र पहचानकर्ता आमतौर पर ग्राहक में कुकी के रूप में सेट होते हैं। बेशक, अगर किसी को उपयोगकर्ता के ब्राउज़र या क्लाइंट से सत्र पहचानकर्ता (उदाहरण के लिए, क्रॉस साइट स्क्रिप्टिंग हमले का उपयोग करके) पकड़ लेता है, तो वह सत्र के पहचानकर्ता को अपने क्लाइंट में सेट कर सकता है और अन्य उपयोगकर्ता के रूप में प्रतिरूपण कर सकता है।
सत्र चर, आमतौर पर $_SESSION सरणी में मानों का संदर्भ लेते हैं। उदाहरण के लिए http://www.php.net/manual/en/function.session-start.php देखें। ये मान क्लाइंट को नेटवर्क पर कभी नहीं भेजे जाते हैं।
जहां तक सत्र पहचानकर्ताओं की सुरक्षा का संबंध है, मैंने पहले पैराग्राफ में पहले से ही समझाया है कि वे ब्राउज़र में कुकीज़ के रूप में संग्रहीत हैं। एक HTTP सत्र में, कुकीज़ को सर्वर और क्लाइंट के बीच cleartext में प्रेषित किया जाता है। यह छिपाने के लिए कमजोर है (उदाहरण के लिए, राउटर पर एक लड़का जिसके माध्यम से आपके पैकेट पास आपके पैकेट को कैप्चर कर सकते हैं और सत्र पहचानकर्ता पढ़ सकते हैं)। इस समस्या को दूर करने का सबसे अच्छा तरीका इसके बजाय HTTPS का उपयोग करना है।
0
मुझे लगता है कि यह "सुरक्षा लाभ" से आपका क्या मतलब है इस पर निर्भर करता है। यदि आपका एप्लिकेशन किसी साझा होस्ट पर है, और आपका सत्र डेटा कुछ असुरक्षित केंद्रीय स्थान पर रखा जा रहा है जहां यह अन्य उपयोगकर्ताओं को पढ़ने के लिए खुला हो सकता है, तो yes, तकनीकी रूप से आपके सत्रों को एन्क्रिप्ट करने के लिए कुछ सुरक्षा लाभ हैं। हालांकि, यह write your own session storage mechanism पर आपके समय और प्रयास का एक बेहतर उपयोग होगा ताकि आप उन्हें पहले स्थान पर असुरक्षित स्थान पर संग्रहीत न करें; विशेष रूप से एन्क्रिप्शन पूरी तरह से गलत करना और सुरक्षा की झूठी भावना देना कितना आसान है।
संबंधित मुद्दे
- 1. "सुरक्षा चर" क्या है?
- 2. क्या स्थानीय स्थानीय चर का उपयोग करने के लिए कोई रनटाइम लाभ है?
- 3. सत्र सुरक्षा?
- 4. क्या MaxPermSize को छोटा रखने के लिए कोई लाभ है?
- 5. क्या सत्र चर के लिए सीमाएं हैं?
- 6. क्या फ़ंक्शन के अंदर एक चर के बजाय एक कॉन्स्ट घोषित करने का कोई लाभ है?
- 7. एएसपी.NET सत्र चर के लिए एएसपी
- 8. हेरोकू - डेटाबेस को एन्क्रिप्ट करने के लिए कैसे करें
- 9. क्या एक सुरक्षा मॉडल को खराब करने से पासवर्ड सुरक्षा में कोई स्थान होता है?
- 10. क्या सत्र आईडी रोटेशन सुरक्षा को बढ़ाता है?
- 11. सत्र सुरक्षा सुरक्षा टोकनहैंडर डीपीएपीआई का उपयोग कर आरएसए-एन्क्रिप्टेड कुकी में सत्र सुरक्षा सुरक्षा को डिक्रिप्ट करने का प्रयास कर रहा है; क्यूं कर?
- 12. क्या वसंत सुरक्षा सत्र को अमान्य करना संभव है?
- 13. रेल: डेटाबेस में सत्र संग्रहीत करने के लाभ?
- 14. जावास्क्रिप्ट ऐरे को कम करने() विधि का उपयोग करने के लिए कोई वास्तविक लाभ है?
- 15. नियंत्रक बनाने के लिए angular.module का उपयोग करने का लाभ क्या है, यदि कोई है?
- 16. सत्र चर
- 17. सत्र चर
- 18. वसंत सुरक्षा - क्या मेरे आवेदन के अंदर सत्र रजिस्ट्री प्राप्त करने का कोई तरीका है (समवर्ती फ़िल्टर को स्पष्ट करने के बिना)
- 19. पीडीएफ फाइलों को एन्क्रिप्ट/डिक्रिप्ट करने के लिए जावा एपीआई
- 20. एक .jar फ़ाइल को एन्क्रिप्ट करने के लिए कैसे करें
- 21. वसंत सुरक्षा सत्र टाइमआउट
- 22. सत्र चर के लिए RSpec spec_helper पहुंच
- 23. क्या केस संवेदनशील डेटाबेस के लिए कोई लाभ हैं?
- 24. क्या पीजीपी का उपयोग करके दो बार एन्क्रिप्ट करने का कोई फायदा है?
- 25. सत्र चर
- 26. क्या डेल्फी को डिकंपाइल करने के लिए कोई प्रोग्राम है?
- 27. क्या "प्रोत्साहित" .NET कचरा संग्रह के संदर्भों को रद्द करने का कोई लाभ है?
- 28. कैशिंग $ (यह) से कोई प्रदर्शन लाभ है?
- 29. तारों को संपीड़ित/एन्क्रिप्ट करने के लिए मूल रूबी विधियां?
- 30. क्या पाइथन में किसी अन्य कक्षा के अंदर कक्षा को परिभाषित करने का कोई लाभ है?
+1 ... मुझे लगता है कि यह बेहतर सवाल का जवाब देता है। सत्र चर स्वयं को प्रकट नहीं किया जाता है (जब तक आप उन्हें कुछ बेवकूफ नहीं करते हैं जो उन्हें उजागर करता है) लेकिन यदि आप एक बुरी तरह से कॉन्फ़िगर किए गए साझा होस्ट पर हैं जहां एक सार्वभौमिक tmp/सत्र संग्रहण स्थान है तो सर्वर पर अन्य साइटें मिल सकती हैं उन तक पहुंच –