在 php.ini
的 session
部分,有一个名为 session.entropy_length
的指令。
我知道它用于使 session ID 的生成“更加随机”。
它如何使 session ID 更加随机?
最大长度是多少?
如果它的长度超过了正在使用的
哈希
的位数怎么办?
最佳答案
session_id
是客户端 IP 地址(32 位)、当前时间戳和微秒(52 位)以及由 php 组合 lcg() 生成的值的哈希值
code>,伪随机数生成器 (PRNG) 函数(64 位)。熵是148位。但是,这个数字不应被视为绝对最小值,因为 IP 地址和时间戳对于创建 session 的人来说是众所周知的。
当可用熵量过低时,可以根据 session ID 重建 PRNG 的种子。由于 PHP 在不同生成器之间重用相同的熵源,这变得更加容易。
种子用于生成其他伪随机值,因此如果攻击者可以获得种子值,他就可以预测所有 future 的输出(包括但不限于 mt_rand()
和 兰特
)。这可不好。
session.entropy_length
是将从熵文件中读取的字节数,通常为 /dev/urandom
或 /dev/arandom
>(from documentation)。
如果您提供像/dev/random
这样的随机源,那么熵就更大,生成的session_id
的强度也更强。
关于php - 了解 PHP session 熵,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34968688/