¿Hay módulos para fortalecer las sesiones de Symfony 2?

Navega tus respuestas
3

Estamos pensando en construir una nueva aplicación sobre Symfony 2, pero la seguridad es nuestra principal prioridad. Después de investigar un poco, parece que hay una serie de opciones integradas para la administración de la sesión (p. Ej., PDO, null, Mongo, etc.), pero ninguna de ellas se ocupa de cosas como la verificación de la ip, el agente de usuario, etc.

A modo de prueba, inicié una sesión en una máquina e inicié sesión. En otra, creé una cookie con el PHPSESID correspondiente y pude acceder a todas las áreas protegidas.

    
pregunta Bryan Agee 29.01.2013 - 21:31
fuente

1 respuesta

2

Lo que estás describiendo es un secuestro de sesión. Esto no es algo contra lo que un controlador de sesión pueda defenderse. Los intentos tontos de verificar el agente de usuario son triviales para eludir. Limitar la sesión a una dirección IP hará que su aplicación sea inaccesible para los usuarios legítimos detrás de un balance de carga, al tiempo que permite el acceso a atacantes en la misma red local. Las aplicaciones web evitan el secuestro de sesiones mediante la reparación de vulnerabilidades como la creación de secuencias de comandos entre sitios, la fijación de sesión y las vulnerabilidades de OWASP a9. (No te olvides de CSRF también conocido como "Session Riding").

Puede habilitar funciones de seguridad basadas en el navegador para proteger la cookie con la siguiente configuración de PHP: 

session.cookie_httponly=1
session.cookie_secure=1
session.use_only_cookies=1
    
respondido por el rook 29.01.2013 - 22:20
fuente

Lea otras preguntas en las etiquetas

¿Por qué este protocolo de enlace SSL falla con el iPad? [cerrado] Autenticación de usuario de Linux adecuada a través de aplicaciones compatibles con PAM