Estoy tratando de averiguar cómo evitar el secuestro de la sesión. Esto es lo que estaba pensando hacer:PHP Comprobando el agente de usuario y el IP para evitar el secuestro de la sesión
Junto con la sesión de identificación de usuario, agregue un agente de usuario y una sesión de IP de usuario también. Cada vez que se carga una página, se verificarán estas sesiones para ver si coinciden, ¿será suficiente? Por ejemplo:
<?php
$userIp = $_SESSION['userIp'];
$userAgent = $_SESSION['userAgent'];
if ($userIp != $_SERVER['REMOTE_ADDR'] || $userAgent != $_SERVER['HTTP_USER_AGENT'] {
session_destroy();
}
?>
Gracias.
Gracias por la respuesta. No me molesta demasiado el primer punto para ser honesto, pero tu segundo es válido. Si no puedo encontrar una manera de prevenir esto, solo usaré HTTPS. –
Gracias! Por cierto, cualquiera que sea la opción con la que decida ir, siempre sugeriría agregar HTTPS en la parte superior. La proliferación de hotspots WiFi públicos significa que todo lo que funciona sin HTTPS está prácticamente abierto para que todos lo vean. –
Dado que solo desea utilizar http, el usuario y la contraseña de su usuario ya pueden obtenerlos si el usuario no utiliza vpn. Ni siquiera necesitas pensar para la sesión. –