Каковы риски безопасности, связанные с отключением «session.cookie_secure» в PHP под защищенными соединениями? Я пытаюсь отключить это, так как я не могу получить доступ к данным сеанса с https-страниц на http-страницах.
Риск состоит в том, что данные cookie передаются по простому HTTP. Любой, кто нюхает пакеты в сети, сможет просматривать данные в файле cookie. Затем они могут притворяться вами ( Session Fixation ).
Теперь некоторые утверждают, что если кто-то может обнюхивать пакеты в сети, они могут выполнить атаку MITM, так что это не огромная сделка. Однако это не на 100% правильно. Посмотрите, что случилось с Google. Они смогли обнюхать необработанный трафик WIFI, фактически не подвергая риску сеть (которая потребуется для атаки MITM). Отправка файлов cookie через HTTP может открывать атаки на захват сеанса, если вы сохранили их на HTTPS, их не было бы.
Если вам нужен доступ для обеспечения безопасности, установите secure_only. Если вам не нужны данные (или используйте несколько факторов или хотите рискнуть), тогда откройте его …
Одним из возможных способов решения проблемы является использование настраиваемого обработчика ошибок и установка 2 идентификаторов сеанса (один – secure_only). Затем вы можете «войти в систему» через оба, но для этого требуется безопасное для чего-либо важного (например, доступ к важным данным. Для этого потребуется некоторая работа, чтобы сделать правильно, но может быть достойным решением проблемы …