0

彼のセッションが乗っ取られた場合でも、Webサイトのユーザーデータを保護するための追加のセキュリティ対策を考えていました。ポインタを教えてください。また、セキュリティの強化を考えている他の人にも役立つかもしれません。

私の計画は、ブラウザのローカルストレージでセッションIDのような追加のキーを使用することです。ここで、一部のブラウザでは機能しない可能性があるという議論がありますが、とにかく私のアプリケーションはWebソケットを使用しているので、ローカルにあると想定できます。ストレージも。

したがって、ユーザーがログインすると、ローカルストレージに保存するキーが割り当てられます。その後、POSTまたはAJAXを介してサーバーから要求される安全なデータについては、要求の一部としてこのキーを含める必要があります。キーはセッションID検証の上にあります。

皆さんの考えでは、これにより、セッションハイジャックに対するセキュリティが少し強化されます(100%ではない可能性がありますが、それでもハッカーの生活が困難になる可能性があります)。

4

2 に答える 2

0

したがって、その他のユーザーのデータが失われるのを避けたい...セッションが乗っ取られたときにデータが失われることを気にする必要はありません。これを行うユーザーは間違いなくその他のユーザーになるためです。通常のユーザーはこれを行いません。

于 2012-12-04T12:25:45.333 に答える
0

ほとんどの場合、それほど深刻である必要はありませんが、必要と思われる場合は次のようになります。

http://php.net/manual/en/session.security.php

これも非常に便利です。

http://wblinks.com/notes/secure-session-management-tips

于 2012-12-04T12:26:54.457 に答える