如何保护PHP登录后生成的cookies
How to protect the cookies generated by the PHP after logging in
登录后,cookie 由 PHP 设置。但是 cookie 中的文本对用户来说是相同的。因此,如果有人获得了 cookie,则可以使用他获得的用户 cookie 轻松登录。
虽然我发现无法在浏览器中设置或编辑cookie。但是如果有人(可能是黑客)恰好在 editing/replacing cookie 中成功,那么他就可以轻松登录。
我已经尝试过 XOR 加密,但这没有任何区别。
如何更好地保护我的网站?
利用 cookie 的身份验证过程是 session 劫持的一部分。您应该了解到,使您的脚本容易受到此类攻击的不仅仅是 cookie。
坚不可摧的解决方案是 HTTPS。使用 cookie 存储您的登录信息的妥协是同时使用 HTTPS。
无需访问您的 PC 即可嗅探您的 cookie 并劫持 session。它可以在 LAN 中甚至 public wi-fi 中使用简单的程序来完成,只要您的所有数据都没有完全加密 end-to-end.
警告:Header仅加密是不够的。请参阅以下文章的 FiresSheep 部分
登录后,cookie 由 PHP 设置。但是 cookie 中的文本对用户来说是相同的。因此,如果有人获得了 cookie,则可以使用他获得的用户 cookie 轻松登录。
虽然我发现无法在浏览器中设置或编辑cookie。但是如果有人(可能是黑客)恰好在 editing/replacing cookie 中成功,那么他就可以轻松登录。
我已经尝试过 XOR 加密,但这没有任何区别。
如何更好地保护我的网站?
利用 cookie 的身份验证过程是 session 劫持的一部分。您应该了解到,使您的脚本容易受到此类攻击的不仅仅是 cookie。
坚不可摧的解决方案是 HTTPS。使用 cookie 存储您的登录信息的妥协是同时使用 HTTPS。
无需访问您的 PC 即可嗅探您的 cookie 并劫持 session。它可以在 LAN 中甚至 public wi-fi 中使用简单的程序来完成,只要您的所有数据都没有完全加密 end-to-end.
警告:Header仅加密是不够的。请参阅以下文章的 FiresSheep 部分