【发布时间】:2015-01-27 13:06:33
【问题描述】:
我正在从 PHP 运行 curl,我想使用 cookie。
Curl,在 PHP 中,接受选项 COOKIEJAR 指定保存 cookie 的位置。
我想把它设置为
curl_setopt_array(
CURLOPT_COOKIEJAR => sys_get_temp_dir() . '/cookie.txt'
...
);
我的第一个想法是将它们放入 /tmp 文件夹,但后来我想知道安全隐患。
我知道绝对安全不存在,但是,在 Linux 环境中,cookie 应该存储在哪里才比较安全?
【问题讨论】:
-
你想保护它免受谁的侵害?例如,您不能安全地保护它免受具有超级用户权限的用户的攻击?
-
根据经验:如果您不希望本地用户可以看到或读取文件,请将其放入只有您自己(您的帐户)有权访问的目录中.不多也不少。
-
@zerkms 很明显,当恶意用户没有特权访问时,问题很重要。问题出现的原因是 /tmp 是一种 "shared" 目录,也许有一个更好的目录可以放置一些明智的信息(我不是一个熟练的破解者可以挑起什么的专家,依赖于多个用户可以访问的目录),即使没有特权。我主要担心粘位机制,因为我不知道它的潜在问题。
-
@Kamafeather:你还没有定义什么是“恶意用户”。因此,除非您说明要保护的对象,否则无法回答如何保护。恶意用户是否有权访问您的帐户?你做了一个很好的声明,你明白没有“绝对安全”,然后问了一个。
-
/tmp显然是一个不安全的地方,因为您担心其他人能够访问该文件。您仍然可以对文件本身使用限制性权限,但其他人可以看到它。在受更严格保护的目录中情况并非如此。此类目录的清理过程将由单行 cron 选项卡条目组成。
标签: php linux security curl cookies