对于会话指纹来说，进行哈希处理是否真的必要？

大部分内容都很合理，但是哈希和加盐一点也不合理。

如果将会话与IP地址绑定，则更难劫持会话。我建议这样做，但您无需完全严格执行此操作。您可以仅绑定到IPv4的前三个部分左右。选择权在于您。 IP检查越严格，安全性越高，但对用户来说越不方便。

至于基于用户代理绑定会话，那也可能有所帮助。必须意识到，如果您使用未加密通道（例如HTTP），则用户代理检查的用处就较小，因为黑客也可以复制它。

当涉及加盐和哈希时，这是无用的。它们对身份验证检查没有增强作用。它们唯一做的是使设计变得复杂。对此我认为它们降低了安全级别。

像往常一样，请记住以下几个规则：

• 使用强会话标识符。这意味着使用良好的随机源并确保有足够的位数。
• 将会话绑定到IP，至少在某种程度上。
• 如果可能，将会话绑定到用户代理。
• 使用SSL / TLS。没有它，理论上所有会话系统都是不安全的。
• 保护您的会话存储。无论是基于文件系统还是基于数据库。

我能想到两种情况下使用这个功能会很有用：
1. 当会话数据存储在客户端时（例如cookie中）。这样，我就无法将我的cookie带到另一台计算机上，并且我也无法伪造自己的cookie内容。（好吧，这不太可能发生...）
2. 当会话数据存储在某些共享的服务器端资源（例如/tmp）中，并且容易被窃听。在这种情况下，如果窃听者能够看到会话的内容，他们仍然无法伪造与该会话的连接，因为他们不知道哪些数据用于生成指纹。

除了@Kai Sellgren (+1)提供的一些有关如何保护会话存储的提示之外，我还想补充一些特定应用程序中哈希和盐的解释。
我不是在谈论使用cookie作为会话存储的应用程序，例如Prestashop电子商务解决方案仍在使用此方法，并加密cookie内容（他们为什么要将会话存储在cookie中？）。我理解我们正在讨论服务器端会话存储。
关键点是分层安全和深度防御：
妥协从来不是二元事物，您不是“完全妥协”或“完全安全”。我喜欢的一个真实历史故事是mySpace worm explanation，它展示了一个真正的攻击以及防御措施如何被打破。总是有新的障碍。举个例子，在办公室时，当我和我的老板使用相同的IP和浏览器时，这可能会破坏基于IP +用户代理的安全性。
因此，在会话标记的哈希和盐中，我们显然是在一些墙倒塌后才采取行动。 Kai向我们展示了其中一些墙。当他谈论保护会话存储时，我想补充两件事：

• 更改每个PHP应用程序的session.save_path和open_basedir是一个非常好的主意（并为每个应用程序获取单独的虚拟主机）。很少这么做。
• 如果您的应用程序安装在路径上（例如/myapp），请在会话cookie上添加前缀路径（并为同一服务器上的任何其他应用程序修复它）

现在让我们想象一个现实妥协。您有几种方法可以在服务器端妥协会话：

• 该应用程序正在运行的网站上还有其他应用程序在其他路径（或在同一服务器上的其他域中）运行。其中至少一个应用程序非常不安全。最坏的情况下，可能会在此应用程序中注入服务器端代码，但某些安全墙（如open_basedir或其他chrooting技术）可以防止此注入代码影响您单独的应用程序（或数据）。
• 某些JavaScript库附带一些包含高度不安全脚本的测试子目录，其中不仅有漂亮的会话披露，还可能提供一些会话固定或预测。
• 该应用程序是共享的，谈论类似WordPress的软件，您可以想象一些平台共享许多不同的安装，其中包括不同的模块和可能是一些自定义代码。在这样的平台上，您将找到允许为每个消费者更改盐的设置，有一个原因。其中一个网站可能会影响其他网站的安全性，并且如果应用程序想要全面管理网站，则难以进行清晰的分离。

您的目标应用程序可能会受到环境的影响，如果会话存储可以与其他应用程序中的某些脚本共享，或者是您自己应用程序中的一个脚本，您甚至没有注意到（就像这些可恶的javascript库示例一样，为什么您没有在静态文件目录上暂停php执行！）
从这个妥协的第一步开始，攻击者可能会潜在地（且严重地）：
- 读取会话时间戳，或许找到他需要伪造的信息以获取相同的时间戳 - 构建一个新会话，其中包含适用于他的配置的有效会话时间戳，然后在您的应用程序上使用此新会话标识符。您的应用程序将找到会话文件并接受它。 - 更改其中一个有效会话以以相同方式修改时间戳
简单的时间戳哈希会使他的生活更加艰难，但这只是要打破的墙，盐使这堵墙变得更难打破。
一个重要的点是，从您的问题来看，如果有人可以更改会话存储中的内容，我是否已经处于不好的情况？好吧，也许不完全是。如果这是chroot /分离/应用程序安全的唯一允许他执行的操作，那么这个盐对他来说将是一场噩梦。
第二个重要点是：我是否应该在每个Web应用程序上进行如此深入的安全性？答案是否定的。过度工程是一件坏事，并且可以通过简单地使应用程序变得更难理解和维护来降低应用程序的安全性。如果：
- 您已经拥有相当不错的会话存储分离水平 - 您独自在服务器上，只有一个应用程序，没有任何类型的多站点处理 - 您的应用程序安全级别非常弱，以至于攻击者不需要进行会话固定：-)

我可以想象哈希指纹信息的目的是为了节省存储空间，因为生成的哈希值具有固定长度。

但同时使用盐并没有太多意义。因为正如你已经说过的那样，由于这些数据存储在会话数据存储位置中，如果有人能够获取这些数据，你已经面临比会话固定/劫持更大的问题了。

您可以在这里找到一个可行的解决方案： http://shiflett.org/articles/the-truth-about-sessions

指纹识别可以防止会话劫持。 攻击者不仅需要您的session_id，还需要任何敏感的HTTP头。 它为攻击者增加了另一个障碍，尽管这个障碍很容易被克服。

哈希函数用于使数据统一。盐值用于混淆哈希过程，以便攻击者无法为自己的HTTP头组合生成有效的指纹。

如果黑客进入了您的文件系统，那么您就有更大的问题:D

很多不太了解安全的人会将网络上流传的建议组合起来，希望最终得到的结果足够“好”。将会话 ID 绑定到 U-A 会破坏浏览器升级（Chrome 经常这样做），将其绑定到 IP 地址会破坏移动性（任何使用 Wi-Fi 的笔记本电脑用户），而且许多 ISP 没有连续的分配。任何能够嗅探 cookie 的人也可以嗅探 U-A，并且可能可以访问相同的 IP 地址，因为他们从 NAT 后面的不安全 Wi-Fi 中获取了 cookie。
你可能想要在登录尝试时更改会话 ID，这是一种可靠的方法，可以防止“会话固定”攻击（攻击者使受害者加载 http://example.com/?SESSIONID=foo，例如通过 <img>，等待您登录，现在知道受害者的会话 ID）。没有什么理由保留跨登录的会话，您可以复制需要保留的少数内容（例如购物车）。

如果黑客可以进入您的文件系统查看会话文件内容，那么此时您不是已经完蛋了吗？
如果您正在使用 PHP 作为 CGI（例如在 nginx 的情况下），那么我认为不会。如果您设置了正确的权限，则 PHP 用户必须具有读/写权限，而您的 PHP 文件应该只有读取权限。因此，如果您将盐从 Web 服务器传递给 PHP，则 PHP 用户无法访问它（他无法创建任何新的/更改现有的 PHP 文件，这些文件可以由您的 Web 服务器运行，并且他无法访问 Web 服务器，因为它是在另一个用户上运行的），因此他实际上无法黑掉（更改）cookie（只能删除它们），因为他无法获取盐。当然，您还需要从 Web 服务器传递数据库设置。
我从未真正尝试过，所以如果我错了，请纠正我。

“像这样的[http客户端指纹]，盐和哈希真的有必要吗？”
哈希可能有用，可以减少会话数据中指纹所占用的字节数。只要哈希指纹的大小比指纹本身小，这在空间减少方面是有意义的。代价是消耗系统资源来生成哈希。
这真的有意义吗？你需要进行基准测试才能这么说。
那么盐如何有帮助呢？我必须承认，我看不出盐有什么理由。它只有在让从哈希中猜测指纹变得更加困难时才有意义。但是，由于我没有看到在哈希指纹中有任何安全好处（它仅保留在服务器端，并且已经相当安全），因此添加盐并没有增加任何东西。
如果会话存储本身不被视为安全（如果这是争论的原因），则应该加密整个会话，而不仅仅是指纹。
因此，特别是对于指纹，我不认为哈希和加盐有太多用处。