Cor*_*art 0 php security session user-agent
我目前正在为客户开发一个新网站,该网站在该网站上存储个人信息和信用卡信息。因此,安全对我来说是一个大问题。这是我建立的第一个包含敏感信息的网站,所以我对整个主题不是很熟悉。
该站点使用会话管理用户。但是,我发现很难保证会话的安全。我想实现一个用户代理检查,在每次加载页面时检查浏览器。这样,当我将会话 ID 复制到我的“攻击者”浏览器上手动创建的 cookie 中时,服务器将检测到用户代理更改(从 Chrome 到 Firefox)并拒绝会话。
我的问题是,如果我在每次加载页面时都执行此检查,我是否会冒着注销合法用户的风险?真正的用户是否有理由在页面之间更改他们的用户代理?如果是这样,这种情况发生的可能性有多大?很可能我应该完全放弃这种方法,还是可以接受的风险?
编辑:cookie 设置为在浏览器关闭后立即过期。此外,登录时设置的用户代理存储在会话中,并在附加盐后进行散列。
是的,用户代理字符串可以更改。会话 cookie 通常比单个浏览器会话持续时间更长。如果用户升级了他们的浏览器(如今 Chrome 和 Firefox 中的自动更新程序很常见),那么用户代理字符串中将出现不同的版本。
此外,在用户代理字符串中报告了一些插件,如果用户安装插件,则会导致它发生变化。
您的用户代理字符串检查并没有真正提供任何额外的安全性。我不推荐它。
| 归档时间: |
|
| 查看次数: |
2158 次 |
| 最近记录: |