私はsuPHPをよりよく理解しようとしています。
私は明らかにグーグルでsuPHPのドキュメントを見つけ、それが何であるか、そして何をするかについての一般的な答えを見つけましたが、それがセッションセキュリティとセッションハイジャックの防止にどのように役立つかについて混乱しています。
誰かが私のためにこれを明確にすることができれば、私は感謝するでしょう。グーグルは良い結果を出していない!
1 に答える
1
suphp共有ホスティングでPHPプロセスを分離します。異なるユーザーアカウントで各仮想ホスト上でスクリプトを実行できます。
これは、同じサーバー上の共有アカウントがセッションストアにアクセスできないようにすることでセキュリティを支援します。場合によっては、シリアル化されたBLOBを格納するために、誰でも読み取り可能なディレクトリ(を参照session_save_path)がPHPセッションハンドラによって使用されることがあります。$_SESSION(たとえば、/tmp/session/これはそもそも標準以下の構成です)。suphpでは、これは制約されます。
ただし、これは、HTTPパケットのスニッフィング、またはクロスサイトスクリプティングの悪用に起因するため、セッションの乗っ取りには役立ちません。ローカルアクセスまたはセッションストアディレクトリの読み取りは、セッションリプレイ攻撃の可能性のあるベクトルですが、めったにありません。
于 2012-10-17T21:33:40.587 に答える