security — Хеширование PHP-сессии, когда пользователь использует один и тот же IP-адрес и агент идентичного пользователя.

Обратитесь к моему вопросу, который я разместил на Безопасность стека, я использую

md5($this->_user_agent.self::SECURE_SESSION . $this->_ip_address);

для генерации отпечатка сеанса (а также в качестве дополнительной меры безопасности, восстанавливающего идентификатор сеанса через каждые 10 минут). Это выглядит нормально, но я хочу иметь дело с ситуацией, когда злоумышленник использует жертву в той же сети [IP-адрес], использует тот же агент пользователя, а также украл идентификатор сеанса, теперь моя проверка выше не будет в этом случае ,

Немного решения, которое я нашел, пока гуглил Flash Cookies or EverCookies or a jquery browser fingerprinting plugin, Но все это имеет свои плюсы и минусы. Также я хочу избежать Flash Cookies и т. Д. (Так как это нарушает законы ЕС & нарушать конфиденциальность пользователя также в то же время).

В качестве обходного пути я немного изменил отпечатки пальцев и добавил php_uname(), PHP_OS в этом .

Теперь мой вышеупомянутый метод снятия отпечатков пальцев стал,

md5($this->_user_agent. self::SECURE_SESSION . $this->_ip_address.php_uname().PHP_OS);

Я знаю, что это также не надежное или законченное решение, но добавило ли еще два ограничения мои отпечатки пальцев к большей безопасности или это никак не отразилось?

PS: я размещаю это здесь вместо безопасности, поскольку я думаю, что охват
statckoverflow больше.

1

Решение

Задача ещё не решена.

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]