¿Debo preocuparme por proteger las sesiones de PHP para mis usuarios? ¿Cómo los hackers roban las sesiones?
La información que pueden ver los usuarios de mi sitio no es del todo sensible y, si un pirata informático la ve o modifica, no dañaría realmente a los usuarios, pero les molestaría.
¿Es realmente necesario almacenar y verificar la IP? ¿Qué tan útil es la verificación del agente de usuario? Supongo que sería tan fácil como enviar un encabezado de agente de usuario.
La sesión es solo un token generado aleatoriamente que no es práctico adivinar.
Hay muchos escenarios en los que es posible robar sesiones, como Cross Site Scripting (XSS) o rastreando el tráfico si el atacante tiene acceso a una red en el nodo entre el cliente y el servidor.
Para resolver el problema de XSS, no necesita tener problemas de validación. Esto significa una verificación adecuada de la entrada del usuario y la codificación adecuada si se muestra al usuario (validación de salida).
DEBE usar SSL si desea mitigar a los atacantes que detectan los tokens de sesión de su cliente.
La verificación de la propiedad intelectual es otra capa de defensa, pero puede generar problemas cuando los clientes están en itinerancia.
Si el atacante puede robar la sesión, también puede robar el agente de usuario.
Lea otras preguntas en las etiquetas web-application session-management php