Как защитить куки, сгенерированные PHP после входа в систему
После входа cookie устанавливается PHP. Но текст в куки одинаков для пользователя. Таким образом, если кто-то получает cookie, то можно легко войти, используя полученный пользователем cookie.
Хотя я обнаружил, что невозможно установить или изменить cookie в браузере. Но если кому-то (возможно, хакеру) удастся отредактировать / заменить куки, он может легко войти в систему.
Я пробовал шифрование XOR, но это не имеет никакого значения.
Как я могу лучше защитить свой сайт?
Решение
Использование процесса проверки подлинности с использованием файлов cookie является частью перехвата сеанса. Вы должны понимать, что не только куки-файлы делают ваши скрипты уязвимыми для такого рода атак.
Непроницаемым решением является HTTPS. Компромисс для использования файлов cookie для хранения вашей регистрационной информации — использование HTTPS.
Не нужно иметь доступ к вашему компьютеру, чтобы прослушивать ваши куки и захватывать сессию. Это можно сделать в локальной сети или даже в общедоступном Wi-Fi, используя простые программы, если все ваши данные не полностью зашифрованы.
Предупреждение: шифрование только заголовка недостаточно. Смотрите раздел FiresSheep следующей статьи
Другие решения
Других решений пока нет …