Мне интересно, как лучше всего защитить сеансы. Я немного искал и нашел много ответов, но многие из них просто слишком запутанны.
Как предотвратить захват сеансов? Я много читал о «токенах сеансов», которые вы генерируете в форме, но на самом деле не понимаете, что их используют. Как это предотвращает захват сеанса?
Я знаю, что вы не сохраняете такие вещи, как пароли в сеансах, но что вы можете хранить в них безопасно? Разрешения (например, сеанс variabele, который отслеживает уровень пользователя. Каждый раз, когда открывается страница, проверяется сеанс variabele. Это не определенный номер, вы получаете сообщение с подтверждением доступа)? Или как вы справляетесь с этим?
Спасибо!
Вы можете в принципе хранить что-либо в сеансе, который вам нужен, но считается лучшей практикой не включать какую-либо секретную информацию, такую как пароли, в случае взлома уровня безопасности.
Первым шагом к предотвращению захвата сеанса является не передать ваш session_id () через url. Пользователи глупы, и они будут размещать ссылки в своих блогах со своим идентификатором сеанса, что в основном даст тому, кто нажал на эту ссылку на свою сессию. Поэтому рекомендуется хранить идентификатор сеанса в cookie пользователей.
С учетом этого вы хотите отфильтровать и убрать все введенные пользователем данные. Если у вас есть инъекция XSS, и пользователь может ввести javascript, они смогут без проблем прочитать ваши файлы cookie.
Оттуда вы обычно хотите регенерировать_session_id () для любых важных действий на своем веб-сайте, чтобы предотвратить фиксацию сеанса .
Это довольно просто, и это подводит итог.