Некоторое время мне было любопытно узнать о проблемах безопасности, связанных с именем сеанса PHP: PHPSESSID.Проблемы безопасности PHPSESSID?
Я заметил, что некоторые веб-сайты переименовывают файлы cookie с идентификатором сеанса, в то время как другие просто оставляют его по умолчанию.
Есть ли какое-либо преимущество в области безопасности при использовании другого имени? или это просто полезно для отслеживания нескольких сеансов на пользователя?
Иногда можно изменить идентификатор сеанса по умолчанию, если вы беспокоитесь о захвате сеанса, хотя вероятность того, что кто-то успешно захватит сеанс, будет довольно тонким, если вы предпримете самые элементарные шаги по дезинфекции ваших данных, отключите глобальные регистры регистрации и принимать только конкретный POST или GET переменных правильно отлитые из ваших форм ...
вы можете прочитать о Session Fixation here (который является то, что изменение стандартного SESSIONID обычно используется для боя) ..
Если вы хотите скрыть факт, что вы используете php, вам следует изменить имя. Однако более распространенным является то, что разработчики получают ужасную идею переосмыслить wheal и писать собственный (очень сломанный) обработчик сеанса. В 9 раз из 10 этот подход гораздо менее безопасен, чем ваш обычный session_start().
Конечно, некоторые люди получают параноик об экспонировании PHP через имя файла cookie сеанса, а затем полностью забывают/игнорируют заголовок X-Powered-By и ServerTokens в Apache. –
@Marc B и забудьте установить 'expose_php = Off' в свой php.ini :) – rook
это Безразлично «Не делай ни малейшего различия.
Нет, имя идентификатора сеанса - это просто имя для идентификации идентификатора сеанса; вы можете изменить его на все, что захотите, если ваша система знает это имя.
Но, как уже упоминалось, вы можете изменить имя, чтобы затенять вашу систему. Но есть и другие аспекты, которые можно использовать для идентификации вашей системы, помимо имени идентификатора сеанса.
-1 изменение имени сеанса не защищает от фиксации сеанса. – rook