قُلِ الْحَمْدُ لِلَّهِ وَسَلامٌ عَلَى عِبَادِهِ الَّذِينَ اصْطَفَى آللَّهُ خَيْرٌ أَمَّا يُشْرِكُونَ
السؤال هنا هو كيف أحمي الجلسة الخاصة بي ؟
هل يجب علي تشفير المعلومات قبل وضعها في الجلسة أم ماذا ؟
أولا تأكد أن cookie الجلسة (عادتا يكون إسمه PHPSESSID) لا يمكن الوصول إليه بإستعمال javascript عبر إضافة httpOnly
مثال لعمل ذلك :
ini_set('session.cookie_httponly', '1');
session_start();
أيضا ممكن أن تربط الجلسة بالمتصفح و الأيبي بحيث تصعب الأمر على المهاجم
أيضا إذا كنت تهتم بمستخدميك يجب أن يكون عندك شهادة أمنية لموقعك https بحيث لا يستطيع طرف ثالث شم معلومات الجلسة
شكراً لك
يبدو أن أفضل حل بعد تحسين الكود البرمجي و مراجعته هو إستعمال شهادة ssl كما ذكرت لحماية البيانات من هجمات كا mitm وغيرها .
و أضيف هذا الأمر إلى ماذكرت :
نعم صحيح لكن في حالة لو تم إختطاف الجلسة ، يعني سرق Session Id فما هي أساليب الحماية التي تنفع في مثل هذا النوع من الهجمات ؟؟ .
مصدر يشرح الأمر :
يجب أن تكون ال cookie مسبوقة بخاتم موقع بمفتاح سري. لنقل مثلا أنك تفصل بعلامة ! بين معرف الجلسة وبين الختم مثلا
myval='XJwTLbfEQBI32tMQhwD4Dw!my_value'
الآن خذ القيمة my_value واحسب قيمة المقطع hash لها باستعمال المفتاح السري الموجود على الخادم فإن كانت قيمته تقابل ما خاتم الذي قبل علامة ! فإنها قيمة مقبولة جاءت حقا من الخادم وإلا ففرغ تلك القيمة لأنها معبوث بها. تسمى هذه الطريقة Cookie Validation أو signed cookies
التعليقات