illustrer
1. L'en-tête HTTP transmis par le cookie dans le navigateur client est également en texte clair. En chiffrant les cookies vous pouvez protéger votre application contre de nombreuses attaques telles que
2. Divisé en falsification des cookies et utilisation inter-applications des cookies.
Falsification des cookies : un attaquant peut tenter de deviner d'autres valeurs de cookies raisonnables pour attaquer le programme.
Utilisation de cookies entre applications : les applications mal configurées peuvent avoir le même stockage de session, par exemple toutes les sessions sont stockées par défaut dans le répertoire /tmp. Les cookies d'une application ne peuvent jamais être réutilisés dans une autre application, tant que le mot de passe est crypté. les clés sont différentes.
Exemple
suhosin.cookie.encrypt=Activé ;; la clé de chiffrement doit être générée, par exemple avec 'apg -m 32' suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1 suhosin.cookie.cryptua=Activé suhosin.cookie.cryptdocroot = Activé ;; liste blanche/liste noire (n'en utiliser qu'une seule) ;suhosin.cookie.cryptlist = PORTEFEUILLE, IDÉES suhosin.cookie.plainlist = LANGUE ;; IPv4 uniquement suhosin.cookie.cryptraddr = 0 suhosin.cookie.checkraddr = 0 Fonctions de blocage test ##La session PHP par défaut est enregistrée dans le chemin tmp ll -rt /tmp grep sess ## Vérifiez les données d'une certaine session lorsque l'extension n'est pas activée cat sess_ururh83qvkkhv0n51lg17r4aj6 //L'enregistrement est en texte brut ## Une fois l'extension activée, affichez les données d'une certaine session cat sess_ukkiiiheedupem8k4hheo0b0v4 //Le record est l'importance du cryptage visible du texte chiffré pour la sécurité
Ce qui précède est la méthode de configuration du cryptage des cookies en PHP. Après l'avoir appris, veuillez essayer l'opération pratique dès que possible.