暴力破解会话有多可行?
我目前正在使用 CodeIgniter 数据库会话,它不使用本机 PHP 会话 - 会话 cookie 加密和用户代理匹配已打开。
假设我将会话到期设置为 4 个月,有人能够通过会话 id 强行闯入吗?不仅要接管会话,还要大量删除帐户中的内容,造成一般混乱等(CI 的 CSRF 保护已打开)
我想为大多数用户提供一个持久的会话 ID,其中匿名用户可以获得注册用户的大部分功能,比如最喜欢的东西 - 类似于 StackOverflow。
暴力破解会话有多可行?
我目前正在使用 CodeIgniter 数据库会话,它不使用本机 PHP 会话 - 会话 cookie 加密和用户代理匹配已打开。
假设我将会话到期设置为 4 个月,有人能够通过会话 id 强行闯入吗?不仅要接管会话,还要大量删除帐户中的内容,造成一般混乱等(CI 的 CSRF 保护已打开)
我想为大多数用户提供一个持久的会话 ID,其中匿名用户可以获得注册用户的大部分功能,比如最喜欢的东西 - 类似于 StackOverflow。
Codeigniter会话不使用原生 php 会话(无论是数据库还是其他),因此您可以使用config.php
文件中提供的加密密钥打开会话加密,这将有助于解决您的安全问题......
如果您的加密密钥又长又复杂(我只是为我的 CI 加密密钥输入乱码),那么不,我想说的是,用今天的技术来说,这不太可能是暴力破解的。如果您的键是字典单词和或单词,那么是的,它可能会在 4 个月内发生。
除非您的网站非常受欢迎,否则我认为黑客不会浪费时间入侵您的网站。总会有比你更强大、更优秀的人,黑客会首先瞄准你。