Le module de session ne peut pas garantir que les informations que vous stockez dans la session ne peuvent être vues que par l'utilisateur qui a créé la session. Vous devez prendre des mesures supplémentaires pour protéger les informations confidentielles de la session. La méthode que vous utilisez pour protéger les informations confidentielles dépend de la confidentialité des données que vous stockez dans la session.
session_start — Démarrer une nouvelle session ou réutiliser une session existante
Gestion stricte des sessions (Apprentissage recommandé : Programmation PHP du débutant à compétent)
Actuellement, par défaut, PHP gère les sessions de manière adaptative, ce qui est très souple à utiliser, mais aussi. comporte certains risques.
À partir de PHP 5.5.2, un nouvel élément de configuration a été ajouté : session.use_strict_mode
. Lorsque cette option de configuration est activée et que le processeur de stockage de session que vous utilisez la prend en charge, les ID de session non initialisés seront rejetés et une nouvelle session sera générée pour eux, ce qui empêche les attaquants d'utiliser un ID de session connu.
Par exemple, l'attaquant peut envoyer à la victime un lien contenant l'ID de session par email : http://example.com/page.php?PHPSESSID=123456789.
Si l'option de configuration session.use_trans_sid
est activée, la victime démarrera une nouvelle session en utilisant l'ID de session fourni par l'attaquant. Ce risque peut être réduit si l'option session.use_strict_mode
est activée.
Avertissement
Les magasins de sessions définis par l'utilisateur peuvent également prendre en charge le mode de session strict en implémentant la validation de l'ID de session. Il est recommandé aux utilisateurs de vérifier la validité de l'ID de session lors de la mise en œuvre de leur propre stockage de session.
Côté navigateur, vous pouvez définir le domaine et le chemin du cookie utilisé pour enregistrer l'ID de session. Seul l'accès HTTP est autorisé, l'accès HTTPS et d'autres attributs de sécurité doivent être utilisés. Si vous utilisez PHP version 7.3., vous pouvez également définir l'attribut SameSite sur le cookie. Un attaquant peut exploiter ces fonctionnalités du navigateur pour définir un identifiant de session disponible en permanence.
Le simple réglage de l'élément de configuration session.use_only_cookies
ne peut pas résoudre ce problème. L'élément de configuration session.use_strict_mode
peut réduire ce risque. Définissez session.use_strict_mode=On
pour rejeter les ID de session non initialisés.
Remarque : Bien que l'utilisation de l'élément de configuration session.use_strict_mode
puisse réduire les risques causés par une gestion flexible des sessions, les attaquants utilisent toujours l'injection JavaScript et d'autres moyens pour forcer les utilisateurs à utiliser la session créée par le attaquant et a subi un identifiant de session d'initialisation normal.
Comment réduire cette direction du vent, vous pouvez vous référer à la section suggestions de ce manuel. Si vous avez activé l'élément de configuration session.use_strict_mode
, utilisez la gestion de session basée sur l'horodatage et régénérez les ID de session en définissant l'élément de configuration session_regenerate_id()
, alors l'ID de session généré par l'attaquant peut être supprimé.
Lorsque l'accès à une session expirée se produit, vous devez enregistrer toutes les données de la session active pour une analyse ultérieure. Demandez ensuite à l'utilisateur de se déconnecter de la session en cours et de se reconnecter. Empêchez les attaquants de continuer à utiliser des sessions « volées ».
Attention
L'accès aux données de session expirées ne signifie pas toujours qu'une attaque est en cours. Des conditions de réseau instables ou un comportement de suppression de session incorrect amèneront les utilisateurs légitimes à accéder aux données de session expirées.
Recommandations de sujets connexes : session php (y compris des photos, des vidéos, des cas)
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!