Насколько уникален идентификатор сеанса php

Насколько уникален идентификатор сеанса php? У меня сложилось впечатление от разных вещей, которые я читал, что я не должен полагаться на двух пользователей, которые никогда не получают такой же сеанс. Разве это не GUID?

Session_id действительно может быть дублирован, но вероятность очень низкая. Если у вас есть сайт с честным трафиком, это может произойти один раз в вашей жизни на веб-сайте и просто раздражает одного пользователя за один сеанс.

Этого не стоит заботиться, если вы не планируете создавать сайт с очень высоким трафиком или услугу для банковской индустрии.

Это не очень уникально, поскольку поставляется. В конфигурации по умолчанию это результат хэша различных вещей, включая результат gettimeofday (который не является ужасно уникальным), но если вы беспокоитесь, вы должны настроить его для привлечения некоторой энтропии из / dev / urandom, например

ini_set("session.entropy_file", "/dev/urandom"); ini_set("session.entropy_length", "512"); 

найдите «php_session_create_id» в коде для реального алгоритма, который они используют.

Отредактировано для добавления: существует генератор случайных чисел DFA, засеянный pid, смешанный со временем в usec. Это не твердое условие уникальности, особенно с точки зрения безопасности . Используйте конфигурацию энтропии выше.

Обновить:

Начиная с PHP 5.4.0 session.entropy_file по умолчанию использует / dev / urandom или / dev / arandom, если он доступен. В PHP 5.3.0 эта директива по умолчанию остается пустой. Руководство PHP

Вы можете установить альтернативную функцию генерации хеширования, если хотите настроить способ генерации идентификатора (по умолчанию это 128-битный номер, сгенерированный через MD5). См. http://www.php.net/manual/en/session.configuration.php#ini.session.hash-функция

Для получения дополнительной информации о сессиях PHP попробуйте эту замечательную статью http://shiflett.org/articles/the-truth-about-sessions, которая также ссылается на другие статьи о фиксации сессии и захвате.

Если вы хотите знать, как PHP генерирует идентификатор сеанса по умолчанию, проверьте исходный код на Github . Это, конечно, не случайное и основано на хеше (по умолчанию: md5) этих ингредиентов (см. Строку 310 фрагмента кода):

  1. IP-адрес клиента
  2. Текущее время
  3. PHP Linear Congruence Generatorгенератор псевдослучайных чисел (PRNG)
  4. ОС-специфический случайный источник – если ОС имеет случайный источник (например, / dev / urandom)

Если ОС имеет случайный источник, то сила сгенерированного идентификатора для идентификатора сеанса высока ( / dev / urandom и другие случайные источники ОС – это (обычно) криптографически безопасные PRNG ). Если, однако, это не удовлетворительно.

Целью генерации идентификации сеанса является:

  1. минимизировать вероятность генерации двух идентификаторов сеанса с одинаковым значением
  2. сделать его очень сложным вычислительным способом генерировать случайные ключи и использовать один из них .

Это достигается подходом PHP к генерации сеансов.

Вы не можете абсолютно гарантировать уникальность , но вероятности настолько низки, что ударяют один и тот же хэш дважды, что, вообще говоря, не стоит беспокоиться.

Размер session_id
Предположим, что seeion_id равномерно распределен и имеет размер = 128 бит. Предположим, что каждый человек на планете регистрируется один раз в день с постоянной сессией в течение 1000 лет.

 num_sesion_ids = 1000*365.25 *7*10**9 < 2**36 collission_prob < 1 - (1-1/2**82)**(2**36) ≈ 1 - e**-(1/2**46) ≈ 1/2**46 

Таким образом, вероятность одного или нескольких столкновений меньше одного в 70 тысяч миллиардов. Следовательно, размер session_id размером 128 бит должен быть достаточно большим. Как упоминалось в других комментариях, session_manager может также проверить, что новый session_id еще не существует.

хаотичность
Поэтому большой вопрос, на мой взгляд, заключается в том, генерируется ли session_id: s с хорошей псевдослучайностью. На этом вы никогда не можете быть уверены, но я бы рекомендовал использовать хорошо известное и часто используемое стандартное решение для этой цели (как вы, вероятно, уже сделали).

Даже если избежать столкновений из-за проверки, случайности и размера session_id важно, так что хакеры не могут, как-то делать квалифицированные угадывания и находить активные session_id: s с большой вероятностью.

Я не нашел подтверждения об этом, но я считаю, что php проверяет, существует ли уже идентификатор сеанса, прежде чем создавать его с этим идентификатором.

Проблемы с захватом сессии, о которых беспокоят люди, – это когда кто-то узнает идентификатор сеанса активного пользователя. Этого можно предотвратить во многих отношениях, для получения дополнительной информации об этом вы можете увидеть эту страницу на php.net и этот документ о фиксации сеанса

Нет, идентификатор сеанса не является идентификатором GUID, но два пользователя не должны получать одинаковый идентификатор сеанса, поскольку они хранятся на стороне сервера.