codeigniter 세션을 해킹 할 수 있습니까?

Question

현재 저는 CI와 협력 중입니다. 나는 CI 세션 라이브러리를 사용하여 쿠키의 모든 세션 값을 저장합니다. Mozilla에서 웹 개발자와 같은 플러그인을 사용하여이 (세션 변수)를 해킹 할 수있는 가능성이 있습니까?

Answer 1

, 세션 4 infos에 의해 만들어집니다 :

1. 사용자의 고유 한 세션 ID (기본적으로 (이 휴대 성 MD5로 해쉬 매우 강한 엔트로피와 통계적으로 임의의 문자열 이며, 가 재생) 5 분마다)
2. 사용자의 IP 주소
3. 사용자의 사용자 에이전트 데이터 (브라우저 데이터 문자열의 첫 번째 120 자)
4. "마지막 활동"시간 역 mp. 물론

플러스 자신의 세션 datas. 이 4 개의 데이터 중 3 개는 보안 될 필요가 없습니다. MD5를 사용하더라도 코드가 실제로 있는지 (실제로 보안 전문가가 아닙니다) . 후자 정보의 보안 수준은 저장하는 정보의 종류와 저장하기 전에 데이터를 얼마나 잘 취급하는지에 따라 다릅니다.

데이터베이스를 사용하여 세션을 저장하도록 결정할 수도 있습니다.이 세션은 SQL 인젝션을 허용하지 않으면 더 안전한 옵션이됩니다.

참고 또한 : 당신은 암호화 옵션을 사용하도록 설정 한 경우

, 직렬화 된 배열을 읽거나 의해 변경되기에 매우 안전하고 불 침투성 데이터를 만드는 쿠키에 저장되기 전에 암호화 합니다 어떤 사람. 추가 정보 암호화는 here이지만 세션 클래스는 데이터 의 초기화 및 암호화를 자동으로 처리합니다. 그래서 잘

, 그들은 매우 안전합니다; 충분히 신뢰하지 못한다면 원하는만큼 데이터를 해시하거나 암호화하거나 문제없이 PHP 원시 세션을 계속 사용할 수 있습니다.

Answer 2

모두 쿠키에 실제로 저장되는 정보의 종류에 따라 다릅니다. 값을 가진 $_COOKIE['is_admin']이있는 경우 .. ..

실제로 사용자의 컴퓨터에 실제로 저장 한 정보를 검사해야합니다. 보통 세션의 경우에만 PHPSESSID 만 저장되며 해시를 포함하고 나머지 값은 서버에 남아 있습니다. 기본적으로