关闭PHP中session.cookie\u secure的后果
在安全连接下关闭PHP中的“session.cookie\u secure”有哪些安全风险?我很想关闭它,因为我无法从https页面访问http页面的会话数据。风险在于cookie数据是通过普通http传输的。任何在网络上嗅探数据包的人都可以查看cookie中的数据。然后,他们可以假装是你() 现在,有些人会争辩说,如果有人能够嗅探网络上的数据包,他们就可以执行攻击,所以这不是什么大问题。然而,这并非100%正确。看看谷歌发生了什么。他们能够嗅探原始的WIFI流量,而不影响网络(这是MITM攻击所必需的)。通过HTTP发送Cookie可能会引发攻击,如果您将Cookie保持为HTTPS,则不会发生攻击 如果需要安全访问,请仅设置“安全”。如果你不关心数据(或使用多种因素,或想冒险),那么打开它关闭PHP中session.cookie\u secure的后果,php,security,Php,Security,在安全连接下关闭PHP中的“session.cookie\u secure”有哪些安全风险?我很想关闭它,因为我无法从https页面访问http页面的会话数据。风险在于cookie数据是通过普通http传输的。任何在网络上嗅探数据包的人都可以查看cookie中的数据。然后,他们可以假装是你() 现在,有些人会争辩说,如果有人能够嗅探网络上的数据包,他们就可以执行攻击,所以这不是什么大问题。然而,这并非100%正确。看看谷歌发生了什么。他们能够嗅探原始的WIFI流量,而不影响网络(这是MITM攻击
一种可能的解决方法是使用自定义错误处理程序,并设置2个会话标识符(其中一个仅为secure_)。然后,您可以通过这两种方式“登录”,但任何重要的事情都需要安全的登录(例如访问重要数据。这需要做一些正确的工作,但可能是一个不错的解决方案…事实上,您对会话固定的认识是错误的,session.use_only_Cookie会处理这个问题。@Rook:通过URL传递的会话ID不是唯一的固定形式。它们是最常见的,因为它们很容易t检测和执行,但如果你可以嗅探来自使用不安全WIFI的人的数据包(例如),你也可以关注他们的cookie。当然,这很难,但也不是不切实际的难。(我100%同意该网站应该使用
仅使用cookies