确保会话安全的最佳方法(咨询)

Question

好吧，是的，我已经读过关于这个主题的其他Q了，但我还有几个问题，有些Q已经有好几年了。

无论如何，我正在为一家保险公司建立一个包含敏感客户信息的管理cp。例如密码、社保号码和drivers #。

首先问: php会话和cookies哪个更安全？根据我对cookie的理解，您可以将其限制为仅限http和SSL。我不知道你是否能对php会话做同样的事情。似乎php会话也只是快速的cookie。Cookie看起来更灵活，也更可靠。仅供参考，我只将Cookie与http和SSL一起使用。在我的例子中使用php会话有很好的理由吗？

第二个问题:我的会话/登录是这样的：*密码被加盐和哈希处理*会话长度为32个随机字符*当用户输入正确的pw并绑定到用户的IP时，会话将被验证*当用户登录时，会话id和用户密码存储在两个单独的cookie中

如果会话通过用户pw验证并绑定到用户的IP，我是否可以只拥有会话Cookie并删除pw cookie？因为我认为这有点多余，因为你只能在输入正确的PW的情况下才能获得会话id。我宁愿在cookie中公开会话id，而不是pw (尽管它仍然是加盐和散列的)。

如果我的两个问题能得到回答，我将不胜感激。欢迎更多安全建议:D

注意:会话与IP捆绑在一起，因为它大大提高了安全性。我宁愿让我的用户有点不方便，当他们的IP发生变化时，他们必须输入他们的pw，而我们的数据库中有SSN和驾照编号。只有3-5个用户将有权访问该系统。

Answer 1

• Do not从不将用户的密码存储在cookie中，在任何形式的cookie中，会话ID通常
• 使用强哈希(无MD5)，如SHA512 (还要考虑stretching 数据应在服务器端会话存储上：
  • cookie将随每个请求一起发送到Cookie域，因此极大地增加了被拦截的机会。仅当为needed.

  时才会输出服务器端会话数据

​

为了避免CSRF

• Do不直接将会话绑定到IP，
• 会将会话相关的标识符作为身份验证令牌传递给每个敏感请求。使用同一AP或专用ISP的两个人具有相同的IP，会话可能会混淆。
• SSL是not magical。不要过于依赖它。

Answer 2

1. 会话存储在服务器上，cookies存储在客户端(浏览器)上。属于用户的会话数据由cookie (会话ID)标识。

我想说会话更安全(你也可以应用一些加密来获得更好的安全性)。

1. 不要将用户密码存储在cookie中。即使它是散列的，也不是一个好的实践。您可以存储包含对用户进行身份验证所需的必要信息的加密序列化数组: ip、用户代理、用户名、用户id，但不包括密码。

您还可以使站点(管理CP)仅在SSL上工作。这样，数据在网络上就不会以纯文本形式显示。

Answer 3

cookie中的密码是否经过加盐和哈希处理？当心-这个问题没有好的答案！

将会话绑定到IP真的没有多大帮助-IP很便宜，很容易被欺骗等。我会使用SSL，cookie/会话，甚至一次性cookie，在每个页面查看时消费和重置。