Phalcon 会话适配器?安全吗?
Phalcon Session Adapter? Is it safe?
我有点担心使用 Phalcon 提供的会话适配器。在文档中它说 "This adapter store sessions in plain files",这是否意味着它将会话数据存储在访问者计算机或应用程序主机上?
还有这种存储登录信息的方法安全吗?我应该使用默认会话适配器还是应该使用更多类似的东西将会话存储在 MySQL 、REDIS、Memcache 或者 Mongo...
安全通常不是关于它是否存储在数据库中(主要是因为如今数据库实际上比文件系统更容易进入),而是磁盘上的数据是否存储在安全的环境中方式,即 encryption/hashing。
默认适配器在服务器 /tmp 或 C:\temp 中正常存储会话。
当然,在 99.99% 的情况下,您不应该在会话中存储需要加密的极其敏感的信息,事实上,在某些国家/地区(英国),存储像 pro 那样的敏感信息是违反 ISO 标准的- 会话对象中的长时间段。请记住,会话不是不可渗透的,它们可以被劫持,并且即使有额外的安全防护措施也始终如此;对于直接接触最终用户的事情,您只能采取这么多预防措施(请记住,PHP 会将会话 ID 存储在 cookie 中,并且大多数用于恢复会话的验证都是基于 cookie 的)。
您应该尝试做到这一点,以便您的会话可以存储在 cookie 中,因为这是一天结束时唯一大致安全的会话;数据是否公开并不重要。
我有点担心使用 Phalcon 提供的会话适配器。在文档中它说 "This adapter store sessions in plain files",这是否意味着它将会话数据存储在访问者计算机或应用程序主机上?
还有这种存储登录信息的方法安全吗?我应该使用默认会话适配器还是应该使用更多类似的东西将会话存储在 MySQL 、REDIS、Memcache 或者 Mongo...
安全通常不是关于它是否存储在数据库中(主要是因为如今数据库实际上比文件系统更容易进入),而是磁盘上的数据是否存储在安全的环境中方式,即 encryption/hashing。
默认适配器在服务器 /tmp 或 C:\temp 中正常存储会话。
当然,在 99.99% 的情况下,您不应该在会话中存储需要加密的极其敏感的信息,事实上,在某些国家/地区(英国),存储像 pro 那样的敏感信息是违反 ISO 标准的- 会话对象中的长时间段。请记住,会话不是不可渗透的,它们可以被劫持,并且即使有额外的安全防护措施也始终如此;对于直接接触最终用户的事情,您只能采取这么多预防措施(请记住,PHP 会将会话 ID 存储在 cookie 中,并且大多数用于恢复会话的验证都是基于 cookie 的)。
您应该尝试做到这一点,以便您的会话可以存储在 cookie 中,因为这是一天结束时唯一大致安全的会话;数据是否公开并不重要。