php - suPHP 会话安全性

Question

我试图更好地理解 suPHP。

我显然在 google 上找到了 suPHP 文档，并找到了关于它是什么和做什么的通用答案，但我对它如何帮助会话安全和防止会话劫持感到困惑。

如果有人能为我澄清这一点，我将不胜感激。谷歌没有产生任何好的结果！

Answer 1

suphp隔离共享主机上的 PHP 进程。它允许在不同的用户帐户下在每个虚拟主机上运行脚本。

这通过使同一服务器上的共享帐户无法访问会话存储来提高安全性。session_save_path有时，PHP 会话处理程序可能会使用一个全球可读的目录（请参阅参考资料）来存储序列化的$_SESSIONblob。（例如/tmp/session/，这是一个低于标准的配置开始）。使用 suphp，这是受限制的。

然而，这对会话劫持无济于事，因为它源于 HTTP 数据包嗅探或跨站点脚本攻击。本地访问或仅读取会话存储目录是会话重放攻击的一种可能载体，但很少见。