session 安全吗?

2014-11-16 11:38:38 +08:00
 444683462
登陆成功之后存入$_SESSION['openid']
注销的时候销毁这个值。

openid代表着唯一的用户标识符,在系统中起着关键作用。
openid是明文传输和保存的。

很容易就能伪造session吗?这样做安全吗?
如果不安全求改进方式?谢谢
3616 次点击
所在节点    PHP
9 条回复
TangMonk
2014-11-16 11:41:25 +08:00
没有绝对的安全,session 要有安全周期,salt要经常换,要防止xss,用户要经常改密码,最好再来个手机验证
444683462
2014-11-16 11:42:25 +08:00
@TangMonk 恩谢谢。我这样设计session,不说其他方面的。是主流的设计吗?
TangMonk
2014-11-16 11:47:09 +08:00
大部分都是这样的
woshicixide
2014-11-16 13:21:51 +08:00
session安不安全本身这个问题就有问题,就好象在问网站安全吗一个道理,你应该问的是怎么样操作session更安全
msg7086
2014-11-16 13:23:03 +08:00
你家的锁安全吗?所以…
taogogo
2014-11-16 13:44:06 +08:00
[防泄漏] :session id随机生成且长度足够;httponly;传输层https。 [泄露止损] :控制session有效期;绑定ip或设备信息;session id批量失效; [这类都属于安全和风控范畴]
marshal
2014-11-16 17:12:09 +08:00
我的看法,session本身并不是解决安全这个系统需求的吧。
因为HTTP是无状态的协议,也就是每次请求重新建立TCP连接。
因此需要一种机制让服务器端能够知道这个请求上次来过。
这就是session机制的作用。即当一个客户端第一次请求时,服务器发送个session id给客户端,以后每次请求客户端都携带这个id。
如果需要解决安全这个需求,一般要使用HTTPS,让整个通信线路SSL加密,才可以解决基本安全问题。
cover
2014-11-16 21:53:46 +08:00
这样安全么 这个问题是伪命题 在密码学里面 安全的定义就是 破解的成本大于你保护的东西的成本的时候就可以认为是安全 和doss攻击一样 人家带宽远大于你的带宽的时候你就没办法了。。 所以人家用超级计算机来攻击你的32核服务器 分分钟让你的系统不安全 还是先确定应用场景吧
jc4myself
2014-11-17 15:58:22 +08:00
看着没什么问题,就看你怎么用的,具体是怎么操作的/httponly https id不要重复 这些需要考虑下

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/146880

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX