Phiên làm việc cưỡng bức buộc

Question

Làm cách nào để có thể thực hiện các phiên bạo lực?

Tôi hiện đang sử dụng các phiên cơ sở dữ liệu CodeIgniter, không sử dụng phiên PHP gốc - mã hóa cookie phiên và kết hợp tác nhân người dùng được bật.

Giả sử tôi đặt hết hạn phiên thành 4 tháng, liệu ai đó có thể bạo lực theo cách của họ thông qua id phiên không? Không chỉ để tiếp nhận các phiên mà còn xóa hàng loạt các tài khoản, gây ra tình trạng lộn xộn chung, vv (bảo vệ CSRF của CI được bật)

Tôi muốn cung cấp cho hầu hết người dùng một id phiên lâu dài. về chức năng của người dùng đã đăng ký, như những thứ yêu thích - tương tự như StackOverflow.

Answer 1

CodeIgniter phiên DO NOT utilize naitive php sessions (cho dù là cơ sở dữ liệu hay cách khác), như vậy bạn có thể bật mã hóa phiên sử dụng khóa mã hóa được cung cấp trong hồ sơ config.php của bạn mà sẽ giúp đỡ với vấn đề bảo mật của bạn ...

Answer 2

Nếu khóa mã hóa của bạn là dài và phức tạp (tôi chỉ cần gõ sai ngữ pháp cho các khóa mã hóa CI của tôi) thì không, nó không phải là khả năng tàn bạo với công nghệ ngày nay tôi sẽ nói. Nếu khóa của bạn là từ và từ hoặc từ điển thì có thể nó sẽ xảy ra trong 4 tháng.

Trừ khi trang web của bạn được phổ biến rộng rãi, tôi không nghĩ rằng một hacker sẽ lãng phí thời gian của mình để hack trang web của bạn. Luôn luôn có ai đó lớn hơn và tốt hơn bạn tin tặc sẽ nhắm mục tiêu đầu tiên.