security - session 暴力破解

标签 security session codeigniter authentication brute-force

暴力破解 session 的可行性如何?

我目前正在使用 CodeIgniter 数据库 session ,它不使用 native PHP session - session cookie 加密和用户代理匹配已打开。

假设我将 session 过期时间设置为 4 个月,是否有人能够通过 session ID 进行暴力破解?不仅可以接管 session ,还可以批量删除帐户中的内容,造成一般困惑等(CI 的 CSRF 保护已打开)

我想为大多数用户提供一个持久的 session ID,其中匿名用户可以获得注册用户的大部分功能,例如最喜欢的东西 - 类似于 StackOverflow。

最佳答案

Codeigniter session DO NOT utilize naitive php sessions (无论是数据库还是其他),因此您可以使用 config.php 文件中提供的加密 key 打开 session 加密,这将有助于解决您的安全问题...

关于security - session 暴力破解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7070160/

上一篇:laravel-4 - Laravel 将所有请求重定向到 HTTPS

下一篇:function - 完美的哈希函数

相关文章:

javascript - 当注入(inject)的代码在带引号的 html 属性中输出时,是否可能存在 XSS 漏洞

javascript - codeigniter 2.1.4 中的旧代码库阻止 session 和 ajax

php - 我的 codeigniter 无法在 centos 上运行(内部服务器错误 500)

Javascript删除验证是 "Ok"还是 "Cancel"

amazon-web-services - 有没有办法保持 ELB 粘性 session ,即使它连接到的实例失败?

php - 如何将Word文档中的问题和答案批量上传到MYSQL数据库?

php - 在网站上发现奇怪的 index.php

security - 带有证书 : how? 的 ssh 隧道

security - Grails Spring Security 插件 - 与用户域一对一关联

php - session 销毁是否不足以清理 session

©2024 IT工具网  联系我们