Sicherungssitzungen
https://stackoverflow.com/questions/1534301
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich weiß, dass es also nicht traditionell so verwendet wird (oder vielleicht ist es), aber ich habe etwas über WebApp -Sicherheit gelernt und dachte, es wäre schön und ermutigend, von so Experten zu hören, was sie von diesem Artikel halten (ich bin Lesen Sie es jetzt in der Sitzung der Sitzung).
http://carsonified.com/blog/dev/how-to-create-bulletproof-SessionSsions/
Vielleicht können wir eine Art Diskussion führen und darauf hinweisen, was der Autor falsch angegeben/vergessen hat und welche besseren Praktiken es gibt?
Wenn es sich beispielsweise um ein anderes Sicherheitsthema wie SQL -Injektionen handelt, empfehlen viele Menschen Dinge wie MySQL_REAL_ESCAPE_STRINGS, aber die Experten sagen Ihnen, dass nichts vorbereitete Aussagen vorbereitet. Aus den Kommentaren scheint dieser Artikel seine Probleme zu haben, also frage ich mich, wie weit sein Inhalt auf der guten oder schlechten Seite ist.
Lösung
Ich denke, der Artikel ist sehr nett, aber dies sind nur die grundlegenden Konzepte, und wenn jemand ernsthaft versucht, eine ernsthafte Sicherheitsanwendung zu bewerben, werden solche Dinge angesprochen. Mit anderen Worten, die Ebene des Artikels ist ziemlich niedrig.
Probleme wie ein Mann-in-the-Middle-Angriff werden hier nicht angesprochen (obwohl ich mir vorstellen kann, dass so etwas normalerweise außerhalb des Rahmens der Anwendungsschicht liegt). Eine weitere mögliche Sicherheitsanfälligkeit kann eine zufällige Zahlenerzeugung sein. Abhängig von der Implementierung der Sitzungsschlüsselerzeugung kann die Entropie der Sitzungsschlüssel viel niedriger sein, da die maximal mögliche Entropie, die Brute -Force -Angriffe möglicherweise machbar machen oder nicht.
Es hängt also wirklich von den Sicherheitsanforderungen ab, die Sie haben, wie die Lösung sein wird. Es gibt keine einzige Sicherheitslösung, die in allen Fällen funktioniert. Stellen Sie sich vor, Sie haben vorstellen, dass Sie eine gültige Sitzungs -ID haben und wissen, an welcher IP die Sitzung gebunden ist. Nehmen wir auch an, dass das Ziel in diesem Beispiel eine Bank ist. Jetzt kann ich eine Anfrage zur Überweisung von Geld auf mein Konto ausführen und diese Arbeit durchführen, indem ich meine IP-Adressierung fälscht und die gestohlene Sitzung bereitstellt. OK, die Antwort meiner Anfrage wird nie eintreffen, da die IP -Adresse gefälscht ist, aber wen interessiert ich, ich habe das Geld, seit der Server meine Anfrage angenommen hat.
Der Punkt ist, dass abhängig vom Kontext Ihre Sicherheitsanforderungen und damit Ihre Sicherheitslösung stark variieren können.
