Recientemente encontré los siguientes ajustes de configuración:
y tengo algunas preguntas sobre ellos:
Use-strict-mode dice lo siguiente :
session.use_strict_mode especifica si el módulo usará estricto modo de identificación de sesión. Si este modo está habilitado, el módulo no acepta ID de sesión sin inicializar. Si el ID de sesión no inicializado se envía desde navegador, el nuevo ID de sesión se envía al navegador. Las aplicaciones están protegidas. desde la fijación de sesión a través de la adopción de sesión con modo estricto. Valores predeterminados a 0 (deshabilitado).
Mi entendimiento rudimentario es que siempre crea un ID de sesión para ti, pero ya vi otra opción de configuración con hace lo mismo. Entonces asumo que mi entendimiento es incorrecto. Entonces, ¿por qué lo necesitamos? (Lo más cercano que vi es que previene el OWASP A9, pero no me da mucha información)
session.hash_bits_per_character :
le permite definir cuántos bits se almacenan en cada carácter cuando convertir los datos hash binarios en algo legible. Lo posible los valores son '4' (0-9, a-f), '5' (0-9, a-v) y '6' (0-9, a-z, A-Z, "-", ",").
A mi entender, esto no contribuye en nada a la seguridad, solo indica qué caracteres se pueden usar para su sesión. Cuanto mayor sea el número, más caracteres y, por lo tanto, menor cadena. Entonces, ¿por qué no poner 6
(en lugar de 4
por defecto)?
Hash-function
Este es claro, pero de la gran lista de funciones posibles , que es el uno (supongo que el valor predeterminado md5
no es bueno) es preferible?
P.S. antes de hacer la pregunta, leí esta respuesta .