シリアル化されたセッションデータ、セッションID、および現在の時刻をテーブルに保存するだけの簡単なカスタムセッションハンドラー(MySQLで作成しましたが、これは関係ありません)を作成しました。
セッションが存在している間、セッションIDは攻撃者のパスワードと同じくらい価値があり、何らかの方法で暗号化する必要があると私は信じています。
攻撃者にセッションIDをブルートフォースさせてCookieを偽造させるために、データベースに保存する前にセッションIDをハッシュすることは価値がありますか?
私のサイトはすでにすべての接続にHTTPSを使用しています。
したがって、防止しようとしているのは、攻撃者がデータベースからセッションIDのダンプにアクセスした場合、セッションIDをそのまま使用できるため、任意のユーザーになりすます可能性があるということです。このため、実際には、パスワードをハッシュするのと同じ方法でIDをハッシュすることをお勧めします。そのため、一方向のルックアップは可能ですが、ハッシュされた値自体は役に立たなくなりました。通常、セッションIDも非常に迅速に期限切れになるため、ブルートフォーシングではほとんど使用されません。
一方、セッションIDは通常、非常に迅速に期限切れになるため、そもそもセッションIDにはあまり意味がない場合があります。攻撃者にとって、チャンスの窓は非常に小さいです。攻撃者がデータベースからセッションIDのダンプを取得できたという事実は、攻撃者がすでに他のデータにもアクセスしている可能性があるため、非常に重く、さらに深刻な違反になります。
それでも、欠点はほとんどありません(わずかな計算オーバーヘッド、セッションIDのデバッグが少し複雑になります)。