确保会话安全

Question

我知道 SO 传统上并不是这样使用的（或者也许是这样），但我一直在学习 Web 应用程序安全性，并且认为听到 SO 专家对本文的看法会很好并且令人鼓舞（我是现在阅读它，它是关于会话安全的）。

http://carsonified.com/blog/dev/how-to -create-bulletproof-sessions/

也许我们可以进行某种讨论，指出作者错误/忘记的内容以及有哪些更好的做法？

例如，当涉及到诸如 sql 注入之类的不同安全主题时，许多人推荐诸如 mysql_real_escape_strings 之类的东西，但专家会告诉您没有什么比准备好的语句更好的了。从评论来看，这篇文章似乎有问题，所以我想知道他的内容到底好坏到什么程度。

Answer 1

我认为这篇文章非常好，但是这些只是基本概念，如果有人认真尝试制作一个严肃的安全意识应用程序，这样的事情将会得到解决。换句话说，文章的水平相当低。

这里没有解决像中间人攻击这样的问题（尽管我可以想象这样的事情通常超出了应用程序层的范围）。另一个可能的漏洞是随机数生成。因此，根据会话密钥生成的实现，会话密钥的熵可能比最大可能熵低得多，这可能使暴力攻击可行，也可能不可行。

因此，这实际上取决于您的解决方案的安全要求，没有一种安全解决方案适用于所有情况。要应用后者，假设您有一个有效的会话 ID，并且您知道该会话绑定到哪个 IP。还假设本示例中的目标是一家银行。现在我可以执行将资金转入我的帐户的请求，并通过欺骗我的 IP 地址并提供被盗的会话来完成此操作。好吧，我的请求的回复永远不会到达，因为 IP 地址被欺骗了，但谁在乎呢，自从服务器接受了我的请求以来，我就收到了钱。

关键是，根据具体情况，您的安全要求以及您的安全解决方案可能会有很大差异。