使用会话的suPHP安全性

Question

我正在努力更好地理解suPHP。

我显然已经在谷歌上找到了suPHP文档，并找到了它是什么和做什么的通用答案，但我对它如何帮助会话安全和防止会话劫持感到困惑。

如果有人能为我澄清这一点，我将不胜感激。谷歌没有产生任何好的结果！

Answer 1

suphp隔离了共享主机上的PHP进程。它允许以不同的用户帐户在每个虚拟主机上运行脚本。

这通过使同一服务器上的共享帐户不能访问会话存储来帮助安全性。有时，PHPs会话处理程序可能会使用完全可读的目录(请参阅session_save_path)来存储序列化的$_SESSION blob。(例如，/tmp/session/，它一开始就是一个低于平均水平的配置)。使用suphp，这是受约束的。

然而，这并不能帮助session hijacking it all，因为这源于HTTP包嗅探或跨站点脚本攻击。本地访问或仅读取会话存储目录是会话重放攻击的可能载体，但很少发生。