2012-02-06 10 views

cevap

13

İstemciye gönderilen, oturum değişkenidir ve oturum değişkenidir. Bu oturum tanımlayıcıları genellikle istemcide bir çerez olarak ayarlanır. Tabii ki, kullanıcı tarayıcı veya istemciden oturum tanımlayıcısını (örneğin, çapraz site komut dosyası saldırısı kullanarak) ele geçirirse, oturum tanımlayıcısını kendi istemcisinde ayarlayabilir ve diğer kullanıcı olarak taklit edebilir.

Oturum değişkenleri, genellikle $_SESSION dizisindeki değerlere başvurur. Örnek için http://www.php.net/manual/en/function.session-start.php'a bakın. Bu değerler ağ üzerinden istemciye asla gönderilmez. Oturum tanımlayıcılarının korunmasıyla ilgili olarak, ilk paragrafta tarayıcıda çerez olarak saklandıklarını daha önce açıklamıştım. Bir HTTP oturumunda, çerezler sunucu ve istemci arasında açık metin olarak iletilir. Bu, dinlenmeye karşı savunmasızdır (örneğin, paketlerinizin geçişi, paketlerinizi yakalayabilen ve oturum tanımlayıcısını okuyabilen bir yönlendiricideki bir adam). Bu sorunun üstesinden gelmenin en iyi yolu, bunun yerine HTTPS kullanmaktır.

0

Sanırım "güvenlik parası" ile ne demek istediğine bağlı. Uygulamanız paylaşılan bir ana bilgisayardaysa ve oturum verileriniz diğer kullanıcıların okuması gereken bazı güvensiz merkezi konumlarda tutuluyorsa, evet, teknik olarak oturumlarınızı şifrelemek için bazı güvenlik avantajları vardır. Ancak, zamanınızı ve çabanızı write your own session storage mechanism numaralı telefondan çok daha iyi kullanabilmeniz, böylece onları ilk etapta güvensiz bir yerde saklamamanız; Özellikle şifrelemeyi yapmanın ne kadar kolay olduğu tamamen yanlış ve kendinize yanlış bir güvenlik hissi verir.

+0

+1 ... Bence bu soruya daha iyi cevap veriyor. Oturum değişkenleri kendilerini açığa çıkarmaz (sürece maruz kaldığınız bir şey yapmadığınız sürece). AMA Eğer genel olarak bir tmp/oturum depolama yeri olduğu kötü yapılandırılmış bir paylaşılan ana bilgisayardaysanız, sunucudaki diğer siteler onlara erişim. –