【发布时间】:2010-11-05 18:30:46
【问题描述】:
他们有什么方法可以隐藏会话 ID 不被嗅探吗?
【问题讨论】:
-
这不是一个坏问题,但您可能希望让它变得更好并稍微修饰一下。
标签: php
【发布时间】:2010-11-05 18:30:46
【问题描述】:
不要附加SID to the URL。
使用https。
(为会话 cookie 设置 httponly flag。)
【讨论】:
-
httonly = httponly cookie 但我想每个人都明白这一点。
-
我想这取决于你如何定义“嗅探”,但 Jeff 不久前在博客上写了关于 httponly 标志的文章,codinghorror.com/blog/archives/001167.html。由于我认为客户端脚本没有任何理由访问会话 cookie,因此我将 php.ini 中的 session.cookie_httponly 设置为 On
如果“嗅探”是指“被中间人攻击者嗅探,监听服务器和客户端之间的所有网络流量”,唯一可靠的方法是使用 https。
是否将 SID 附加到 URL 没有区别:SID 仍以 cookie 的形式发送,如果您不在 HTTPS 上,则该 cookie 将不加密发送。
httponly 标志可以很好地防止 XSS 攻击 - 请参阅 VolkerK 链接到的博客文章 - 但不能防止嗅探器
(...如果那是动词)
您可能必须明确定义您要防范的攻击者类型才能获得更多答案。
【讨论】:
-
“是否将 SID 附加到 URL 没有区别” - 是的,我在使用术语“嗅探”非常 松散地考虑了诸如将 URL 复制并粘贴到IM 或 XSS 攻击。
-
是的,这就是为什么我要小心地首先在技术背景下定义“嗅探”通常意味着什么,并指出松散的定义......没有冒犯的意思。不将 SID 附加到 URL 将有助于提高一般安全性,因为您的 SID 问题出现在其他人日志的引用字段中,而且这些天,出于 SEO 目的。