7

暴力破解会话有多可行?

我目前正在使用 CodeIgniter 数据库会话,它不使用本机 PHP 会话 - 会话 cookie 加密和用户代理匹配已打开。

假设我将会话到期设置为 4 个月,有人能够通过会话 id 强行闯入吗?不仅要接管会话,还要大量删除帐户中的内容,造成一般混乱等(CI 的 CSRF 保护已打开)

我想为大多数用户提供一个持久的会话 ID,其中匿名用户可以获得注册用户的大部分功能,比如最喜欢的东西 - 类似于 StackOverflow。

4

2 回答 2

1

Codeigniter会话使用原生 php 会话(无论是数据库还是其他),因此您可以使用config.php文件中提供的加密密钥打开会话加密,这将有助于解决您的安全问题......

于 2011-08-15T20:11:12.493 回答
0

如果您的加密密钥又长又复杂(我只是为我的 CI 加密密钥输入乱码),那么不,我想说的是,用今天的技术来说,这不太可能是暴力破解的。如果您的键是字典单词和或单词,那么是的,它可能会在 4 个月内发生。

除非您的网站非常受欢迎,否则我认为黑客不会浪费时间入侵您的网站。总会有比你更强大、更优秀的人,黑客会首先瞄准你。

于 2011-08-15T22:27:18.623 回答