Как защитить куки, сгенерированные PHP после входа в систему

После входа cookie устанавливается PHP. Но текст в куки одинаков для пользователя. Таким образом, если кто-то получает cookie, то можно легко войти, используя полученный пользователем cookie.

Хотя я обнаружил, что невозможно установить или изменить cookie в браузере. Но если кому-то (возможно, хакеру) удастся отредактировать / заменить куки, он может легко войти в систему.

Я пробовал шифрование XOR, но это не имеет никакого значения.

Как я могу лучше защитить свой сайт?

0

Решение

Использование процесса проверки подлинности с использованием файлов cookie является частью перехвата сеанса. Вы должны понимать, что не только куки-файлы делают ваши скрипты уязвимыми для такого рода атак.

Непроницаемым решением является HTTPS. Компромисс для использования файлов cookie для хранения вашей регистрационной информации — использование HTTPS.

Не нужно иметь доступ к вашему компьютеру, чтобы прослушивать ваши куки и захватывать сессию. Это можно сделать в локальной сети или даже в общедоступном Wi-Fi, используя простые программы, если все ваши данные не полностью зашифрованы.

Предупреждение: шифрование только заголовка недостаточно. Смотрите раздел FiresSheep следующей статьи

Захват сессии

1

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]