我是否必须做一些特别的事情来避免使用Kohana 框架进行会话劫持?我假设会话仅使用Kohana 会话库进行操作
问问题
1083 次
3 回答
6
本机会话最容易被劫持,因为它们没有防止 cookie 窃取的安全措施。除了 PHP 提供的默认值之外,本机会话几乎没有应用安全性。为了更好的安全性,您可能应该添加用户代理或 IP 地址检查。
Cookie 会话是加盐的,并且支持加密。您应该更改Cookie::$salt以增加安全性。
数据库会话也使用加盐 cookie 来存储会话 id,因此,您应该再次更改 salt。
编辑:您说的是 v2,它对会话应用了更高的安全性,因为它扩展了本机会话。这种方法更容易出现奇怪的 PHP 问题,但提供了更高的安全性。检查会话配置文件以进行添加user_agent和ip_address检查。
于 2010-05-12T08:29:46.783 回答
0
我会在GitHub 上查看相关文件。
根据您使用的驱动程序,例如 native 或 db,您可能需要更深入地挖掘。
于 2010-05-12T06:14:29.740 回答
0
为了提高安全性,我将使用数据库会话并加密 cookie(保存会话 id)。
于 2010-05-12T09:49:10.433 回答