Читаю php security guide ... (Про session hijacking, и не понятно там.)

[dergachev]

Вот пытаюсь осилить эту штуку. Вопрос возник. Вот они предлагают для предотвращения session hijacking составлять на каждого пользователя fingerprint, содержащий, скажем, строку User Agent и еще что-нибудь, и при смене fingerprint'а убивать сессию. Дальше они пишут:

Keeping in mind that we're passing the session identifier in a cookie, and this already requires that an attack be used to compromise this cookie (and likely all HTTP headers as well), we should pass this fingerprint as a URL variable. This must be in all URLs as if it were the session identifier, because both should be required in order for a session to be automatically continued (in addition to all checks passing).

То есть правильно ли я понимаю, что ко всем ссылкам нужно тупо прилепить

Код: Выделить всё

"?f=".fingerprint()

? А в начале каждой страницы сверять: если $_GET['f']!=fingerprint(), то убить всех человеков? Просто смущает, что я такого никогда не видел, ну хотя бы вот даже здесь, на unixforum.org, в url ничего, кроме адреса страницы, не висит.

[sash-kan]

из процитированного вами я, честно говоря, не понял, какие плюсы в передаче (дополнительной) сессионной информации через url, а не через cookie.
а вот минусы в таком решении — налицо.

p.s. по ссылке не ходил.

[dergachev]

Ну я так понял, что это интересно лишь тогда, когда все куки уже и без того украдены при помощи стороннего зловредного сайта, и тогда атакующему придется, помимо подделки сессии, еще и угадывать грамотный url. При этом fingerprint в переменных сессии не содержится. А минусы какие?

[sash-kan]

А минусы какие?

индексация сайта в поисковиках.

угадывать грамотный url

зачем угадывать? сервер сам его сформирует. на основании переданного зловредным сайтом «правильного» user-agent-а, который вы ему сами любезно и предоставили.
если же не формировать, то любое обращение к сайту из вполне лигитимной сессии должно сопровождаться get-переменной. со всеми вытекующими неудобствами.