3
我只是好奇。我看到了会话ID正在更新的方法。我知道会话的重要性,但我没有得到的是为什么会话ID正在更新。SESSION ID:为什么需要更新?
在CodeIgniter(PHP框架)中,默认情况下会话ID每5分钟更新一次。这是我们在这里讨论的安全问题吗?只是想知道。感谢无论谁回答! :)
A
回答
2
它必须经常更新。
可以说你登录到一些在线烘焙网站。当然你有一个独特的会话ID会话。但是,如果不经常更新,有人可以使用一些XSS技巧来获取会话ID,将您的会话ID插入到他的浏览器中,然后poof!他使用您的凭据登录!
和服务器将永远不会知道你不再是谁了,因为他使用了你自己的会话ID,所以访问这个站点的人是谁。
+0
这实际上是我一开始就在想的。感谢您的验证。 :) – user979023 2012-02-29 16:06:45
0
的主要原因是为了防止会话劫持。在这个维基百科article上列出了劫持会话的方法。到prevent session fixation,这篇文章很好。
通过刷新会话ID,任何被盗的会话ID对攻击者来说都不会很有用。在您的示例中,窃取会话ID可能需要超过5分钟的时间,在此之后,由于它已过期而无用。
通过窃取您的会话ID,攻击者将承担您的身份并执行您允许执行的任何操作。
0
相关问题
- 1. 为什么Form需要JSF中的ID
- 2. 为什么session在jsp会话超时后有session id?
- 3. 为什么更新到DLL需要重新编译,有时不需要?
- 4. 为什么SQL语句需要更新更多记录?
- 5. 为什么在保存更改后需要更新Radiant CMS?
- 6. 为什么它需要这么长的时间来更新
- 7. 为什么需要
- 8. 为什么需要“{} \”?
- 9. 为什么需要新分支标志?
- 10. 为什么ofstream需要刷新?
- 11. qtsql-querymodel-editablesqlmodel:为什么需要刷新?
- 12. 为什么需要UAC更改文件?
- 13. 为什么需要使用@ + id而不是@id?
- 14. 为什么$ scope。$应用需要更新此阵列
- 15. CouchBase Lite - 更新文档 - Android,为什么需要“properties.putAll(..)”?
- 16. SOAP - 为什么需要查询更新的原始值?
- 17. 为什么作曲家更新需要访问数据库
- 18. 为什么在60天后需要更新composer.phar?
- 19. Angular:更新列表;为什么需要这个$广播?
- 20. 正在将Session Id更改为Session Fixation的最佳解决方案,并且为什么更改Session ID会引发Session_End事件?
- 21. 部分更新...为什么需要2次刷新才能看到更改?
- 22. 为什么需要copy_to/from_user?
- 23. 为什么Grails需要Xerces?
- 24. 为什么我需要“&”?
- 25. 为什么需要Server.HtmlEncode?
- 26. 为什么需要$ = jQuery
- 27. 为什么//需要的/
- 28. 为什么这需要malloc'd?
- 29. 为什么RVM需要YAML?
- 30. 为什么mybatis需要@Param?
防止['session-fixation'](http://en.wikipedia.org/wiki/Session_fixation)等等。 – Wrikken 2012-02-24 12:27:55