Я проделал немало исследований по этому вопросу. К сожалению, ни одна из найденных мной информации не была действительно полезной. Я рассматриваю конкретный случай захвата сеанса, так как я принял меры по обеспечению безопасности своих сеансов, но я не могу понять.Защита от удержания сеанса PHP
То, что я настроен как мера безопасности я взял браузер отпечатки пальцев на старте сессии:
$_SESSION['fingerprint'] = $_SERVER['HTTP_USER_AGENT'];
Каждый раз, когда сеанс испрашивается я выполнить проверку
if($_SESSION['fingerprint'] != $_SERVER['HTTP_USER_AGENT']) // Handle accordingly
Таким образом, с включенным httpOnly
на сеансовом захвате не так уж и много, кроме обмана Wi-Fi-маршрутизаторов с незащищенным соединением или прослушиванием любого другого типа, где злоумышленник будет знать обо всех заголовках запросов, поэтому сложность отпечатка не делает вообще нет. Если злоумышленник должен был скопировать все заголовки запросов своей жертвы, как я могу защитить сеанс?
http://4techs.org/83/how-to-prevent-session-hijacking/ Можете прочитать это. – Ali
Можете ли вы подробнее объяснить, что вы пытаетесь выполнить? Использование одного параметра, например браузера, не очень безопасно. На самом деле это очень подменяет. –
@Phillip Я только что дал это в качестве примера. Какая разница в том, сколько «параметров» я буду использовать, если злоумышленник будет знать всю информацию, отправленную его жертвой? –