suPHP에 대해 더 잘 이해하려고합니다.suPHP 보안 세션
Google에서 분명히 suPHP 문서를 찾았으며 그것이 무엇인지에 대한 일반적인 답을 찾았지만 세션 보안 및 세션 도용 방지에 도움이되는 방법에 대해 혼란스러워합니다.
누구든지 나를 위해이를 분명히 할 수 있다면 감사 할 것입니다. Google은 좋은 결과를 산출하지 않습니다!
suPHP에 대해 더 잘 이해하려고합니다.suPHP 보안 세션
Google에서 분명히 suPHP 문서를 찾았으며 그것이 무엇인지에 대한 일반적인 답을 찾았지만 세션 보안 및 세션 도용 방지에 도움이되는 방법에 대해 혼란스러워합니다.
누구든지 나를 위해이를 분명히 할 수 있다면 감사 할 것입니다. Google은 좋은 결과를 산출하지 않습니다!
suphp
은 공유 호스팅에서 PHP 프로세스를 격리합니다. 다른 사용자 계정으로 각 가상 호스트에서 스크립트를 실행할 수 있습니다.
동일한 서버의 공유 계정에서 세션 저장소에 액세스 할 수 없게하여 보안을 유지합니다. 때로는 세계에서 읽을 수있는 디렉토리 (session_save_path
참조)가 PHP 세션 핸들러에서 일련 번호 $_SESSION
blob을 저장하는 데 사용됩니다. 예를 들어 보조 구성 인 /tmp/session/
과 같이 시작하십시오. suphp를 사용하면 이것이 제한됩니다.
그러나 이것은 HTTP 패킷 스니핑이나 크로스 사이트 스크립팅 공격에서 유래 한 것과 같이 모두 session hijackin입니다. 로컬 액세스 또는 세션 저장소 디렉토리를 읽는 것만으로 세션 재생 공격의 가능성이 있지만 거의 발생하지는 않습니다.