【发布时间】:2010-05-11 19:49:22
【问题描述】:
我是否必须做一些特别的事情来避免使用session hijacking 使用Kohana framework? 我假设会话仅使用 Kohana Session 库进行操作
【问题讨论】:
【发布时间】:2010-05-11 19:49:22
【问题描述】:
本机会话最容易被劫持,因为它们无法防止 cookie 窃取。除了 PHP 提供的默认值之外,本机会话几乎没有应用安全性。为了更好的安全性,您可能应该添加用户代理或 IP 地址检查。
Cookie 会话是加盐的,并且支持加密。您应该更改Cookie::$salt 以增加安全性。
数据库会话也使用加盐 cookie 来存储会话 id,所以同样,您应该更改加盐。
编辑:您说的是 v2,它对会话应用了更高的安全性,因为它扩展了本机会话。这种方法更容易出现奇怪的 PHP 问题,但提供了更高的安全性。检查会话配置文件以添加user_agent 和ip_address 检查。
【讨论】:
我会在GitHub 上查看相关文件。
取决于您使用的驱动程序,例如native 或 db,您可能需要更深入地挖掘。
【讨论】:
为了提高安全性,我会使用数据库会话并加密 cookie(保存会话 ID)。
【讨论】: