我的网站100%依赖于会话变量。
当你在服务器上登录时,它将会话设置为客户端用户名,每个页面检查用户名是否设置并使用该变量发布广告和更多…但如果有人破解了该变量并将其更改为任何其他用户名,他就可以登录并删除所有内容,查看个人信息等
所以我的一个朋友告诉我,使用SSL可以防止所有黑客嗅探和劫持我的网站,是这样吗?因为我可能会更换服务器,但它没有SSL,所以我想知道是否值得为此付费?或者是否有其他解决方案
谢谢凯文
你实际上问了两个问题,一个是关于SSL的,一个是关于会话的——所以,这里有两个答案:
会话通过给用户一个cookie并在服务器上存储会话变量列表来工作。在PHP中,该cookie默认命名为PHPSESSID。如果你现在看一下浏览器里的cookie,你可能会看到很多。cookie的值将是一堆难以猜测的乱码。当您设置会话变量时,例如$_SESSION['username']='kevin',"username=kevin"部分存储在服务器上。
如果攻击者可以猜到或获得该cookie,他们可以将其安装在浏览器上并成为"凯文",除非您有其他对策。但是,如果用户要将会话更改为其他人,则必须破解您的服务器以更改那里的会话文件。"kevin"这个名字永远不会发送给用户。
SSL不是一个神奇的安全解决方案,但如果您担心恶意用户查看或接管另一个用户的会话,那么它可能值得投资。
网吧就是一个简单的例子。很多人聚集在一起使用WiFi。网页无处不在——即使是你自己的身体。对于攻击者来说,捕获其他用户的网页(包括他们的会话令牌)是微不足道的。这太简单了,以至于有一个叫做FireSheep的程序,可以让很多网站的用户通过点击成为另一个用户。
SSL保护这些网页和会话cookie,因此只有服务器和授权用户可以读取它们。攻击者仍然可以捕获通过空气传输的数据,但这对他们来说只是胡言乱语。
使用https加密发送的cookie,包括您的会话cookie。这很安全。黑客仍然可以通过发送虚假的会话cookie来攻击你的网络安全,但你是相当安全的,因为黑客在使用https时无法轻易获得会话id。