-1

我确实四处搜索以找到有关 PHP 中会话安全的一些信息,我发现了一些不错的东西,但我仍然不确定这对于会话保护免受常见攻击是否正确和安全。

    public static function session_start()
    {
        ini_set('session.cookie_httponly', 1);
        ini_set('session.session.use_only_cookies', 1);
        ini_set('session.entropy_file', '/dev/urando');
        ini_set('session.cookie_lifetime', 0);
        ini_set('session.cookie_secure', 1);
        if(session_status() != 2) session_start();

        //fixation security step
        if(!isset($_SESSION[self::$_CHECK_KEY]) || $_SESSION[self::$_CHECK_KEY] !== self::$_CHECK_VAL)
        {
            session_regenerate_id();
            $_SESSION[self::$_CHECK_KEY] = self::$_CHECK_VAL;
        }

        //Hijacking secuity step
        if(isset($_SESSION[self::$_USER_AGENT]))
        {
            if(self::CryptPass(
                    $_SERVER['HTTP_USER_AGENT'], 
                    self::$_USER_SALT,
                    $_SESSION[self::$_USER_AGENT]) 
                !== $_SESSION[self::$_USER_AGENT])
            {
                $this->ReqLogin = true;
            }
        }
        else
        {
            $_SESSION[self::$_USER_AGENT] = self::CryptPass($_SERVER['HTTP_USER_AGENT'], self::$_USER_SALT);
        }
    }

所以我想知道有什么我可以做得更好的吗?有些事情我不应该做?

4

1 回答 1

0

安全是一个相当广泛的主题领域——你的代码没有解决很多事情,你还没有定义要解决的安全问题。例如,这对保护共享托管平台上的其他用户的会话没有任何作用。

暂且不说,显而易见的问题是 Chrome 浏览器可以在会话中进行自我升级(即用户代理更改)。我只在 Chrome(和 Chromium)浏览器中看到过这种情况,而且它在会话中不应该发生超过一次。

跟踪 IP 地址的变化是一个好主意——但是这些也可以在会话中发生变化,例如跨多个代理进行负载平衡。但是网络提供商(在地址的 whois 数据中)很少会在会话中更改 - 这仍然可能发生,例如,如果移动设备从只有 3G 连接的区域移动到 Wifi 热点。

您还没有提供在身份验证状态更改时强制更改会话 ID 的显式方法。尽管固定/劫持涵盖了大多数可能性,但在这里进行显式更改仍然是个好主意。

于 2013-10-09T12:14:13.900 回答