-2

外部の噂では、php セッション キーはあまり安全ではないと言っているようです。

いくつかのフォーラムでは、php キーは 32 ビットしかないため、簡単にブルート フォースされると述べています。私は他の場所(忘れられた場所)で、phpがIPを使用し、作成された時間、160ビットのセッションキーを作成するために多くのことを言っているのを見ました。

だから...私は混乱しています。ネイティブ セッション キーを使用しても問題ありませんか。できるだけ早くサイトを実行したいと考えていますが、非常に脆弱な場合は、さらに調査を行うのに時間がかかります。

総当たり攻撃などに対してどの程度脆弱ですか?

4

1 に答える 1

2

PHP セッション ID は、MD5 ハッシュとランダム入力を使用して作成されます。MD5 は 16 バイトの結果 (または 16 進数の 32 文字)、または 128 ビットです。32ビットではありません。

デフォルトの自動生成されたセッション ID のセキュリティが気に入らない場合は、次のことができます。

  1. 代わりに SHA-1 を使用するようにsession.hash_functionを構成すると、160 ビットになります。
  2. 暗号的にランダムなソースから自分でセッション ID を作成し、 への呼び出しでセッション ID を設定しsession_id("your-random-value")ます。セッション保存ハンドラではすべての文字が許可されているわけではなく、制限される場合があることに注意してください。

この情報から、PHP セッション ID は安全であると結論付けても問題ないと思います。

于 2013-07-28T12:27:55.183 に答える