我确实搜索了一下,以找到一些有关PHP会话安全性的信息,我发现了一些好东西,但我仍然不确定这对于会话保护免受常见攻击是否正确和安全。
public static function session_start()
{
ini_set('session.cookie_httponly', 1);
ini_set('session.session.use_only_cookies', 1);
ini_set('session.entropy_file', '/dev/urando');
ini_set('session.cookie_lifetime', 0);
ini_set('session.cookie_secure', 1);
if(session_status() != 2) session_start();
//fixation security step
if(!isset($_SESSION[self::$_CHECK_KEY]) || $_SESSION[self::$_CHECK_KEY] !== self::$_CHECK_VAL)
{
session_regenerate_id();
$_SESSION[self::$_CHECK_KEY] = self::$_CHECK_VAL;
}
//Hijacking secuity step
if(isset($_SESSION[self::$_USER_AGENT]))
{
if(self::CryptPass(
$_SERVER['HTTP_USER_AGENT'],
self::$_USER_SALT,
$_SESSION[self::$_USER_AGENT])
!== $_SESSION[self::$_USER_AGENT])
{
$this->ReqLogin = true;
}
}
else
{
$_SESSION[self::$_USER_AGENT] = self::CryptPass($_SERVER['HTTP_USER_AGENT'], self::$_USER_SALT);
}
}
所以我想知道有什么我可以做得更好的吗?有些事情我不应该做?
安全性是一个相当广泛的主题领域 - 您的代码没有解决很多问题,并且您尚未定义要解决的安全问题。例如,这对保护会话免受共享主机平台上其他用户的攻击没有任何作用。
撇开这一点不谈,明显的问题是Chrome浏览器可以在会话中自行升级(即用户代理更改(。我只在Chrome(和Chromium(浏览器上看到过这种情况,并且它不应该在一个会话中发生超过一次。
跟踪 IP 地址的变化是个好主意 - 但这些也可能在会话中发生变化,例如在多个代理之间进行负载平衡。但是,网络提供商(在地址的whois数据中(很少在会话中更改 - 这仍然可能发生,例如,如果移动设备从只有3G连接的区域移动到Wifi热点。
您尚未提供在身份验证状态更改时强制更改会话 ID 的显式方法。尽管固定/劫持涵盖了大多数可能性,但在此处进行显式更改仍然是一个好主意。