Что не позволяет кому-либо войти на веб-сайт Z. Переход в файл cookie, содержащий Session_Id для веб-сайта Z, и возиться с ним, чтобы стать кем-то другим, идентифицированным сервером?Как защищаются идентификаторы сеансов на стороне клиента?
ответ
Ничего, кроме длины и базы идентификаторов сессии. Если это довольно долго, потребуется триллионы (или более) попыток до обнаружения столкновения. Более длинные идентификаторы умножают количество возможных идентификаторов на базу хеша, поэтому, если ваш хэш имеет номера и строчные буквы, каждый дополнительный символ умножает возможности на 36.
20-символьный хеш предоставит вам 36^20 различных возможностей , Если вы удвоите длину идентификатора, вы получите 36^40 различных возможностей. Сделать его намного труднее для любого, чтобы грубая сила в другую учетную запись.
Какой хэш используют сеансы PHP при хранении идентификатора? Что такое алгоритм ... Я не хак .. Я просто хочу использовать тот же алгоритм для ручного создания собственных session_ids? –
@HiroProtagonist По умолчанию он использует md5, но это настраивается в php.ini, и есть лучшие хэши, которые вы можете использовать. – Paulpro
Better Hashes - Можете ли вы ответить здесь: http://stackoverflow.com/questions/10905930/what-hash -У-PHP-сессии потребительные при хранящем-ан-идентификатор –
Если мы говорим о сеансе php, ответ «никто не защищает их»!
Вы должны сделать что-то, чтобы попытаться сделать его «более безопасным».
- Использование SSL для аутентификации
- Make идентификатор сеанса истекает через время
- Проверить IP и USER AGENT (хорошо, что можно обойти)
и так далее ...
Что не позволяет кому-либо войти в веб-сайт Z. Переход в файл cookie, содержащий Session_Id для веб-сайта Z, и возиться с ним, чтобы стать кем-то еще как id завещанным сервером?
Вы должны были бы на самом деле знать другой идентификатор сеанса для этого. Идентификаторы сеансов очень длинные и случайные, поэтому вы не можете угадать идентификатор другого пользователя.
В некоторых случаях (структура CodeIgniter) вы можете зашифровать свои файлы cookie, что значительно затрудняет эту атаку.
В конечном счете вы, разработчик, несете ответственность за безопасность, ничего не стоит на месте, это просто вопрос правильных рекомендаций по безопасности для разработки безопасных приложений.
- 1. Кол-во сеансов на стороне клиента
- 2. Как генерируются идентификаторы сеансов?
- 3. отладка на стороне клиента на стороне клиента
- 4. Запрос на стороне клиента на стороне клиента
- 5. Rikulo на стороне клиента на стороне клиента
- 6. ASP.NET MVC RenderPartial Обработка на стороне клиента идентификаторы
- 7. Как защищаются файлы php
- 8. Безопасны ли идентификаторы сеансов ServiceStack?
- 9. Передача данных между обновлением/перезагрузкой (на стороне клиента, без сеансов на стороне сервера)
- 10. Проверка на стороне клиента на стороне клиента NetSuite SuiteScript
- 11. Стратегия регистрации на стороне клиента
- 12. генерировать случайные идентификаторы сеансов OpenTok
- 13. На стороне сервера и на стороне клиента
- 14. Ошибка на стороне XSLT на стороне клиента
- 15. jfreechart на стороне клиента
- 16. ServiceBehavior на стороне клиента
- 17. Программирование на стороне клиента на стороне клиента и сервера
- 18. Фильтрация на стороне клиента
- 19. Поведение на стороне клиента
- 20. кеширование на стороне клиента
- 21. Сессии на стороне клиента
- 22. Языки на стороне клиента
- 23. Программирование на стороне клиента
- 24. Socket.IO на стороне клиента
- 25. обнаружение на стороне клиента
- 26. Проверка на стороне клиента
- 27. javafx на стороне клиента
- 28. Проверка на стороне клиента
- 29. сомнения на стороне клиента
- 30. Скорость на стороне клиента
Вы отвечаете за безопасность сеанса, например. хеширование идентификатора и идентификатора для управления каждым запросом сервером. – Daniel
Если кто-то может войти на ваш сервер, у вас больше проблем, чем защита сеанса. –