2
Есть ли у них какой-либо способ скрыть сессии ID от обнюхивания?phpsession ID's (hiding)
A
ответ
7
Не добавляйте SID to the URL.
Использование https.
(Установите httponly flag для куки сессии.)
+0
httonly = httponly cookie, но я думаю, что все это поняли. – Alfred
+0
+1, я не знал о флагоме httponly –
+0
Я думаю, это зависит от того, как вы определяете «sniff», но Jeff blogged о флагоме httponly некоторое время назад, http://www.codinghorror.com/blog/archives /001167.html. Поскольку я не вижу никакой причины, чтобы клиентский скрипт получал доступ к куки-файлу сеанса, я установил session.cookie_httponly в php.ini для On – VolkerK
1
Если под «нюхал», вы имеете в виду «вдыхают человек-в-середине атакующего прослушивают всех сетевого трафика между сервером и клиентом», то только верный способ - использовать https.
Добавляете ли вы SID к URL-адресу, не имеет значения: SID по-прежнему отправляется как файл cookie, и если вы не используете HTTPS, этот файл cookie отправляется незашифрованным.
HttpOnly флаг защищает очень хорошо от XSS атак - см сообщение в блоге VolkerK связаны с - но не против снифферов
(... если это глагол)
Вы, вероятно, должны четко определить, какие вид злоумышленника, которого вы пытаетесь защитить, чтобы получить больше ответов.
+0
«Добавляете ли вы SID к URL-адресу без разницы» - да, я использовал термин «обнюхивание» _very_ свободно и думал о чем-то вроде копирования и вставки URL-адреса в атаки IM или XSS. – VolkerK
+0
Да, поэтому я был осторожен, чтобы определить, что «фыркнуло», как правило, означает в техническом контексте, и указать свободное определение ... никакого преступления. не добавляя SID к URL-адресу, это поможет с общей безопасностью, при этом проблемы вашего SID появятся в поле реферера чужих журналов, а также в наши дни для целей SEO. – James
Смежные вопросы
- 1. О PHPSESSION концепции
- 2. Hiding LinkButton
- 3. Hiding Imageview
- 4. js: hiding divs
- 5. onload hiding dojo
- 6. VB.NET Form Hiding Issue
- 7. VIM Buffer/Window Hiding
- 8. python Hiding raw_input
- 9. Javascript hiding banner slider
- 10. Win8: Hiding Toast Notifications
- 11. Wordpress hiding Сообщение Div
- 12. RecyclerView Hiding LinearLayout
- 13. XMonad windows hiding bars
- 14. ShinobiCharts hiding axis
- 15. Trouble hiding "dropdown" menu
- 16. Entity Framework свойство hiding
- 17. Bootstrap Hiding glyphicons
- 18. WordPress hiding httml
- 19. jqGrid hiding Плюс значок
- 20. javascript hiding divs
- 21. VB Hiding Child Forms
- 22. jquery hiding table category
- 23. javascript hiding eval
- 24. Android Hiding ActionBar
- 25. selectedBackgroundView hiding UIView
- 26. Awesome Grid buttons hiding
- 27. Tortoisesvn - hiding apikey
- 28. hiding window.location URL
- 29. hiding keyboard ios
- 30. Элементы SiteMap Not Hiding
Это не плохой вопрос, но вы можете сделать его еще лучше и немного приукрасить. – VolkerK