ブルートフォースセッションはどの程度実行可能ですか?
私は現在、ネイティブPHPセッションを利用しないCodeIgniterデータベースセッションを使用しています-セッションCookie暗号化とユーザーエージェントマッチングがオンになっています。
セッションの有効期限を4か月に設定したとすると、誰かがセッションIDをブルートフォース攻撃することができますか?セッションを引き継ぐだけでなく、アカウントから物事を大量に削除したり、一般的な騒乱を引き起こしたりする(CIのCSRF保護がオンになっている)
StackOverflowと同様に、ほとんどのユーザーに、お気に入りのものなど、登録ユーザーのほとんどの機能が匿名ユーザーに与えられる、長期的なセッションIDを提供したいと思います。
Codeigniter セッションは、単純な php セッション(データベースであろうとなかろうと) を利用しません。そのため、ファイルで提供された暗号化キーを使用してセッション暗号化をオンにconfig.phpすると、セキュリティ上の問題に役立ちます...
暗号化キーが長くて複雑な場合 (CI 暗号化キーを意味不明な形で入力しただけです)、いいえ、今日のテクノロジではブルート フォース可能性が低いと言えます。キーが辞書の単語または単語である場合、はい、4 か月以内に発生する可能性があります。
あなたのサイトが非常に人気のあるものでない限り、ハッカーがあなたのサイトをハッキングして時間を無駄にすることはないと思います。ハッカーが最初にターゲットにするのは、あなたよりも大きくて優れた人が常にいるからです。