php 会话劫持 - HTTPS 足够吗？指纹识别有什么建议吗？

Question

我使用 HTTPS，但希望最大限度地降低有人使用其他人最近实际使用的会话 ID 恶意制作自己的 cookie 的风险。

作为会话变量，我有一个到期时间，因此如果最近未使用会话，会话就会失效，因此我认为机会之窗是当受害者处于活动状态或最近离开网站而未正确注销时。

我预计不会有大量的流量，并且我使用标准 php 方法来生成会话 ID。我相信有人真正成功（甚至尝试）劫持某人的会话的“风险”接近于零。

我想做的是以某种方式“识别”远程用户，不使用$_SERVER['REMOTE_ADDR']。我的想法是，攻击者必须找到有效的会话 ID，以及 模仿实际用户的不同属性。

我不想强迫用户使用证书登录。我希望它可以在所有标准网络浏览器中工作，即使对于我的祖母和其他像她这样的非技术人员也是如此。

那么，我本来想问的是：HTTPS会话有什么“属性”可以使用吗？它们有用吗？如果是这样，我该如何找到它们？ phpinfo() 没有透露任何 HTTPS 特定内容。 （是因为 httpd 没有公开它吗？）

我应该只使用 HTTP_USER_AGENT + HTTP_ACCEPT + HTTP_ACCEPT_LANGUAGE 的串联code> + HTTP_ACCEPT_ENCODING + HTTP_ACCEPT_CHARSET 或者类似的东西被认为在用户之间足够唯一？

对所有答案感到非常高兴！ （但请在回答前先阅读问题，仅参考 StackOverflow 上的其他问题） 谢谢你！

Answer 1

您需要确保在会话 cookie 上设置了 secure 和 http_only 标志。您还需要在用户进行身份验证时更改 session_id 以避免会话固定问题。

虽然您提出的建议在指纹识别方面应该相对安全，但实际上并不是那么有选择性 - 还有很多东西不应该用于指纹识别（例如 CLIENT_ADDRESS），因此要提出更好的建议并不容易。

除了上面的建议之外，我建议您花时间研究其他潜在的安全问题。

C.

Answer 2

OWASP Top 10 是针对此类攻击的绝佳辅助工具。
具体来说，您需要担心这三个：

A2：Cross-站点脚本 (XSS)

A3：损坏的身份验证和会话管理。

< a href="http://www.owasp.org/index.php/Top_10_2010-A5-Cross-Site_Request_Forgery_(CSRF)" rel="nofollow noreferrer">A5：跨站请求伪造 (CSRF) （也称为“会话骑乘”）

几乎所有 $_SESSION 变量都是攻击者已知的，并且可以是任何值。检查这些变量是没有意义的，因为攻击者影响它们是微不足道的。一个重要的例外是 $_SERVER['remote_addr'] 它是直接从 apache 的 TCP 套接字拉取的，因此该值不能被欺骗或以其他方式篡改。但是，如果攻击者位于同一网段（例如，如果他在咖啡馆里在你身后喝咖啡），则攻击者将拥有相同的 IP 地址。