暴力破解 session 的可行性如何?
我目前正在使用 CodeIgniter 数据库 session ,它不使用 native PHP session - session cookie 加密和用户代理匹配已打开。
假设我将 session 过期时间设置为 4 个月,是否有人能够通过 session ID 进行暴力破解?不仅可以接管 session ,还可以批量删除帐户中的内容,造成一般困惑等(CI 的 CSRF 保护已打开)
我想为大多数用户提供一个持久的 session ID,其中匿名用户可以获得注册用户的大部分功能,例如最喜欢的东西 - 类似于 StackOverflow。
最佳答案
Codeigniter session DO NOT utilize naitive php sessions (无论是数据库还是其他),因此您可以使用 config.php 文件中提供的加密 key 打开 session 加密,这将有助于解决您的安全问题...
关于security - session 暴力破解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7070160/