php.ini установить безопасный сеанс cookie

Я прочитал сообщение о безопасности на сеансе. Хотя я настраиваю большую часть этого в php.ini на моем общем хосте, некоторые я не могу.

1) Я не могу найти session.cookie_secure и session.cookie_httponly в моем php.ini, так как я все еще новичок в PHP, я не хочу просто добавлять эти две строки в файл, не зная никаких последствий. В качестве альтернативы я использовал подход, отредактировав .htaccess. Не уверен, работает это или нет.

IfModule php5_module<br>
php_flag session.cookie_secure on<br>
php_flag session.cookie_httponly on<br>
/IfModule<br><br>

Этот метод подходит?

2) В настоящее время я использую версию 5.3.28, и php.net заявил, что session.entropy_file поддерживает многие системы unix, но начинает поддерживать Windows только после 5.3.3, что превышает мою версию. По умолчанию php.ini имеет следующее:

;session.entropy_length = 16  
;session.entropy_file = /dev/urandom

Должен ли я беспокоиться или я слишком беспокоюсь?

3) Должен ли я использовать setcookie или setrawcookie?

4) Я следую безопасному созданию и уничтожению сеансов входа в PHP для безопасности, есть ли что-то еще, что мне нужно принять во внимание?


php session-cookies httponly
person Andrew    schedule 17.06.2014    source источник
comment
Ваша 5.3.28 версия PHP новее, чем 5.3.3. И да, вы можете просто добавить любую из перечисленных опций в ваш php.ini. Также setcookie() имеет альтернативные параметры для обоих.   -  person mario    schedule 18.06.2014

Ответы (1)


arrow_upward
1
arrow_downward

1) Они обязательно должны быть в вашем файле php.ini, однако они будут закомментированы, что означает, что они начинаются с ;, вам нужно их раскомментировать. Если по какой-то причине их там нет (они будут), вы можете смело добавлять их.

2) Я бы не стал менять значения энтропии без приличных знаний в криптографии и безопасности, значения по умолчанию подойдут.

3) Вам, вероятно, следует использовать setcookie(), так как он будет кодировать URL, что вам, вероятно, нужно.

4) Да, вы должны принять это во внимание, очень важно. Безопасность никогда не должна быть запоздалой мыслью, прочитайте весь материал в посте, и если вы не понимаете его, просмотрите немного. В Интернете есть множество отличных ресурсов, и я настоятельно рекомендую ознакомиться с OWASP.

person James Parker    schedule 17.06.2014
comment
Мне всегда интересно, какая степень безопасности считается достаточной... и достаточно защищенной от обычной атаки - person Andrew; 18.06.2014
comment
Вы уже попали в ловушку, обычная атака. Всегда предполагайте, что злоумышленник сделает все, что в его силах, чтобы скомпрометировать ваш сайт, если захочет. Однако защита от SQL-инъекций, межсайтовых сценариев и подделки межсайтовых запросов будет сдерживать большинство автоматизированных сканеров. Безопасность — это глубокая область и отдельная профессия; как разработчик, вы должны читать как можно больше, чтобы установить методы безопасного кодирования. - person James Parker; 18.06.2014