【发布时间】:2012-10-07 06:01:20
【问题描述】:
我正在努力更好地理解 suPHP。
我显然在 google 上找到了 suPHP 文档,并找到了关于它是什么和做什么的通用答案,但我对它如何帮助会话安全和防止会话劫持感到困惑。
如果有人能为我澄清这一点,我将不胜感激。 Google 没有产生任何好的结果!
【问题讨论】:
标签: php security session session-hijacking suphp
【发布时间】:2012-10-07 06:01:20
【问题描述】:
suphp 隔离共享主机上的 PHP 进程。它允许在不同的用户帐户下在每个虚拟主机上运行脚本。
这通过使同一服务器上的共享帐户无法访问会话存储来提高安全性。有时,PHP 会话处理程序可能会使用一个世界可读的目录(参见 session_save_path)来存储序列化的 $_SESSION blob。 (例如 /tmp/session/ 这是一个低于标准的配置开始)。使用 suphp,这是有限制的。
然而,这对session hijacking 这一切都没有帮助,因为它源自 HTTP 数据包嗅探或跨站点脚本攻击。本地访问或仅读取会话存储目录是会话重放攻击的一种可能载体,但很少见。
【讨论】: