공유 서버 보안 쿠키 로그인

Question

이 질문이 전에 제기 된 경우 사과드립니다. 내가 이해하는 방식으로 사물을 설명하는 답을 찾는 데 어려움을 겪고 있습니다.

나는 공유 리눅스 서버를 사용하여 PHP/mysql 사이트 또는 두 곳을 호스팅하고 있습니다. 세션 (세션 데이터가 데이터베이스에 저장되어 있음)을 사용하는 관리 영역에 대한 로그인 코드를 작성했으나 문제는 20 분 정도 지나면 세션 시간 초과입니다. 나는 호스팅 제공 업체와 통화했으며, 내가 이것을 변경할 수있는 방법이 없다는 것을 알 수 있습니다. htaccess와 개별 php.ini 파일에서 gc_maxlifetime을 변경하려고 시도했습니다. 둘 중 하나가 시스템을 중단 시키거나 작동하지 않습니다. 접대 공급자는 나의 시도가 아마 무익하다는 것을 확인했다.

그래서 쿠키를 테스트로 사용하도록 전환했습니다. 그러나 나는 이제 보안 문제가 우려된다. 내가 저장 한 쿠키 (username/shar 암호화 된 암호, 사용자 에이전트/remote_address, 토큰 및 일부 시간 관련 항목)는 쿠키에서 모두 암호화 된 AES이며 일부 소금, IP 검사 및 여러 번의 잘못된 로그인 이후 잠김을 사용합니다. 시도.

토큰은 로그인해도 변경되며 실제로 보호되는 데이터베이스에 저장됩니다. 나머지 항목은 로그인 한 사용자에 대해 올바른 데이터가 표시되는지 확인합니다. 그 토큰이 내가 가지고있는 유일한 보호 수단이라는 점에 우려하고 있습니다. 호스트에 대한 제 제약 조건을 감안할 때 몇 가지 제안/도움을 얻을 수 있거나 더 나은 솔루션을 제공하거나 적어도 내가 한 것에 더 많은 코드를 추가 할 수 있기를 기대했습니다.

아마도 내가 완전히 잘못된 방법으로 갔을 것입니다. 그냥 다시 반복 처리를하기까지 내가 세션 20 분 :(후 타이밍을 중지 얻이 수없는 것 말할 수 있습니다.

감사합니다 사전에 어떤 도움.의 끔찍한 방법입니다

Answer 1

을 어떤 이유로 든 세션 ID를 생성해서는 안되며, 세션 ID는 만료되지 않으며 공격자가 해킹하여 다시 로그인 할 수있는 수단이 있어야합니다. ID 항상은 cryptographic nonce이어야합니다. 세션 토큰을 생성하는 PHP의 방법은 좋지 않지만 향상시킬 수 있습니다. 엔트로피 소스로/dev/random을 사용할 수 있습니다.

당신은이 문제를 해결하기 위해 위아래를 재발견하면 안됩니다. session.cookie_lifetime 및 session.gc_maxlifetime 값을 설정하고 session_start() 및 $_SESSION 수퍼 전역을 사용할 수 있어야합니다. 관심이 있으신 분은 post on PHP Sessions입니다.

정말로 자신 만의 세션 핸들러를 만들려면 SQL 테이블을 만듭니다. 이 테이블의 경우 세션 ID로 키를 사용하고 session_id()으로 생성하십시오. PHP의 setcookie()을 사용하고 HTTPOnly 및 Secure 비트와 같은 보안 플래그를 설정해야합니다. 새 레코드를 데이터베이스에 삽입하고 시간 제한 값이 있는지 확인하십시오. 이 로그인 시스템의 가장 큰 문제점은 sql injection입니다. 공격자가 암호 해시를 해지하지 않고 세션 ID와 로그인을 얻을 수 있기 때문입니다.