Обратитесь к моему вопросу, который я разместил на Безопасность стека, я использую
md5($this->_user_agent.self::SECURE_SESSION . $this->_ip_address);
для генерации отпечатка сеанса (а также в качестве дополнительной меры безопасности, восстанавливающего идентификатор сеанса через каждые 10 минут). Это выглядит нормально, но я хочу иметь дело с ситуацией, когда злоумышленник использует жертву в той же сети [IP-адрес], использует тот же агент пользователя, а также украл идентификатор сеанса, теперь моя проверка выше не будет в этом случае ,
Немного решения, которое я нашел, пока гуглил Flash Cookies or EverCookies or a jquery browser fingerprinting plugin
, Но все это имеет свои плюсы и минусы. Также я хочу избежать Flash Cookies и т. Д. (Так как это нарушает законы ЕС & нарушать конфиденциальность пользователя также в то же время).
В качестве обходного пути я немного изменил отпечатки пальцев и добавил php_uname()
, PHP_OS
в этом .
Теперь мой вышеупомянутый метод снятия отпечатков пальцев стал,
md5($this->_user_agent. self::SECURE_SESSION . $this->_ip_address.php_uname().PHP_OS);
Я знаю, что это также не надежное или законченное решение, но добавило ли еще два ограничения мои отпечатки пальцев к большей безопасности или это никак не отразилось?
PS: я размещаю это здесь вместо безопасности, поскольку я думаю, что охват
statckoverflow больше.
Задача ещё не решена.
Других решений пока нет …