Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
当用户共享相同的IP地址和相同的用户代理时哈希PHP会话_Php_Security_Session_Fingerprint - Fatal编程技术网
Fatal编程技术网
  • php/
  • 当用户共享相同的IP地址和相同的用户代理时哈希PHP会话

当用户共享相同的IP地址和相同的用户代理时哈希PHP会话

php security session

当用户共享相同的IP地址和相同的用户代理时哈希PHP会话,php,security,session,fingerprint,Php,Security,Session,Fingerprint,参考我发布的问题,我正在使用 md5($this->_user_agent.self::SECURE_SESSION . $this->_ip_address); 用于生成会话指纹(并作为附加的安全措施,在每10分钟后重新生成会话Id)。这看起来不错,但我想处理这样一种情况:攻击者利用同一网络[ip地址]中的受害者进行攻击,使用同一用户代理,还窃取了会话ID,在这种情况下,我的上述检查将失败 在谷歌搜索时,我发现很少有解决方案是使用Flash Cookie或EverCookie或j

参考我发布的问题,我正在使用

md5($this->_user_agent.self::SECURE_SESSION . $this->_ip_address);
用于生成会话指纹(并作为附加的安全措施,在每10分钟后重新生成会话Id)。这看起来不错,但我想处理这样一种情况:攻击者利用同一网络[ip地址]中的受害者进行攻击,使用同一用户代理,还窃取了会话ID,在这种情况下,我的上述检查将失败

在谷歌搜索时,我发现很少有解决方案是使用
Flash Cookie或EverCookie或jquery浏览器指纹识别插件
。但所有这些都有其利弊。此外,我想避免Flash Cookie等(因为它违反了欧盟法律,同时也侵犯了用户的隐私)

因此,作为一种解决方法,我对指纹进行了一些修改,并在其中添加了
php\u uname()
php\u OS

现在我上面的指纹法变成了

md5($this->_user_agent. self::SECURE_SESSION . $this->_ip_address.php_uname().PHP_OS);
我知道这也不是一个健壮或完整的解决方案,但添加另外两个约束是否会使我的指纹识别更加安全,或者根本没有任何影响

附言:我把它贴在这里,而不是像我所想的那样安全 斯塔奇科沃夫流更多

还窃取了会话ID
https解决了这个问题,不是吗?此外,远程ip指纹识别可能会踢到一些用户,他们使用的是一种平衡代理(具有多个不断变化的www ip),我知道HTTPS将解决这一问题。但我在HTTP场景中使用的是更一般的术语。FYR
还窃取了会话ID
https解决了这个问题,不是吗?此外,远程ip指纹识别可能会踢到一些用户,他们使用的是一种平衡代理(具有多个不断变化的www ip),我知道HTTPS将解决这一问题。但我在HTTP场景中使用的是更一般的术语。FYR