我的网站100%取决于Sessions变量。
[当您登录服务器时,它将会话设置为客户端用户名,并且每个页面都会检查是否设置了用户名,并使用该变量来发布广告等...但是如果有人入侵了该变量并将其更改为其他变量用户名,然后可以登录并删除所有内容,查看个人信息等
所以我的一个朋友告诉我,使用SSL可以防止所有黑客嗅探和劫持我的网站,对吗? “因为我可能会更改服务器,并且服务器上没有SSL,所以我想知道是否值得为此付费?或是否有其他解决方案
非常感谢凯文
如果攻击者可以猜测或获取该Cookie,则可以将其安装在浏览器上并成为“ kevin”,除非您采取其他措施。但是,要使用户将其会话更改为其他用户,他们将不得不入侵您的服务器以在那里更改会话文件。名称“ kevin”永远不会发送给用户。
SSL并不是一种神奇的安全解决方案,但是如果您担心恶意用户查看或接管另一个用户的会话,则可能值得投资。
网吧就是一个简单的例子。许多人聚集并使用WiFi。网页无处不在-即使您自己的身体。对于攻击者来说,捕获其他用户的网页也很简单-这包括他们的会话令牌。非常简单,有一个名为FireSheep的程序使许多网站的另一次用户点击变得简单。
SSL保护这些网页和会话cookie,因此只有服务器和授权用户才能读取它们。攻击者仍然可以捕获通过空中传输的数据,但这对他们来说简直是胡言乱语。