외부 링크: » 세션 고정
세션 모듈은 세션에 저장한 정보가 세션을 생성한 사용자만 볼 수 있다는 보장을 하지 않습니다. 세션에 할당한 값을 기반으로 세션의 무결성을 보호할 추가적인 측정을 취해야 합니다.
세션으로 운반되는 데이터의 중요성을 평가하고 추가적인 보호를 적용해야 합니다 -- 이는 비용을 발생하며, 사용자 편의를 감소합니다. 예를 들어, 간단한 사회적 엔지니어링 전략에서 사용자를 보호하려면, session.use_only_cookies를 활성화합니다. 이 경우, 사용자 측에서 쿠키를 무조건 활성화해야 하며, 그렇지 않으면 세션이 작동하지 않습니다.
존재하는 세션 id가 다른 사람에게 유출되는 여러 방법이 있습니다. 유출된 세션 id는 다른 사람이 지정한 id에 할당된 자원에 접근할 수 있게 합니다. 먼저, 세션 id를 운반하는 URL입니다. 외부 사이트에 링크할 때, 세션 id를 포함하는 URL은 외부 사이트의 referrer 기록에 남을 수 있습니다. 두번째, 더 활동적인 공격자는 네트워크 트래픽을 감시할 수 있습니다. 암호화되지 않으면, 세션 id는 네트워크에 일반 텍스트로 떠다닙니다. 이에 대한 해결책은 SSL을 구현하여 사용자에게 강제하는 것입니다.