PTT數位生活區 / PHP

安全的SESSION

看板PHP作者 (霸格尼尼)時間18年前 (2007/10/30 23:31), 編輯推噓2(201)
留言3則, 2人參與, 最新討論串1/4 (看更多)
http://140.122.126.12/~buganini/dev/session.php 使用方法很簡單 把session_start()換成include上面這個檔案即可 FEATURE: 1. 每次連線同步更新token 提昇抵抗hijack的能力 相當於TCP每次seq number的更新 (one time password) 2. 比TCP更好的抵抗能力 TCP在被hijack之後 基本上只能hijack回去 否則就束手無策了 這個script在被hijack之後 hijacker更新了server端的token victim如果再連線 因為持有舊的token 所以整個session會被毀掉 victim需要重新建立session 而這個hijack就失效了 其實TCP應該也可以關閉連線 可是因為TCP的fixed token(ip-port pair) 是有規則的 所以容易被DOS NOTICE: 如果一頁有多個frame裡面連到的頁面都有include 這個script的時候 或著快速refresh 或browser有開pipelining 會發生餅乾賽跑... 這些request會拿著同一個token去連線 但經過一個連線之後token就會換掉 然後session就炸了... 適度提高$tolerance可以減少這個問題 但設太高會失去抵抗hijack的能力 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 221.169.71.109 ※ 編輯: buganini 來自: 221.169.71.109 (10/31 07:42)
11/22 20:48, , 1F
GJ
11/22 20:48, 1F
07/12 15:43, , 2F
實用.怎沒被'm'?
07/12 15:43, 2F
07/12 15:44, , 3F
喔?原來還有後續討論..
07/12 15:44, 3F
更多 buganini 的文章
文章代碼(AID): #179qvDie (PHP)
討論串 (同標題文章)
以下文章回應了本文 (最舊先):
2
3
Re: 安全的SESSION
dinos
18年前, 10/31
完整討論串 (本文為第 1 之 4 篇):
排序: 最新先 | 最舊先 | 留言數
2
3
Re: 安全的SESSION
dinos
18年前, 10/31
2
3
安全的SESSION
buganini
18年前, 10/30
在新視窗開啟完整討論串 (共4篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 buganini 的文章
文章代碼(AID): #179qvDie (PHP)