我使用的是Typo3,cookie中的实际会话ID被散列到数据库中。我如何关闭散列?我使用的是Typo3版本11.3。
ycl3bljg1#
你不能通过任何配置来关闭它。当然你可以直接修改代码,但这不是应该做的事情。我能问问你为什么要关掉它吗?一些附加背景取自奥利弗Hader的https://talk.typo3.org/t/disable-hashing-of-ses-id-possible/4617您提到的更改是安全修复的一部分,TYPO3-CORE-SA-2020-011:会话标识符的明文存储。除此之外,我还在2021年TYPO 3在线日期间从技术上演示了一个潜在的攻击,可以在YouTube上的TYPO3 Online Days 2021 - #T3OD21 - Day 2 - June 30, 2021 - YouTube再次观看数据库组件的散列实现显示在[SECURITY]中防止直接使用持久化会话ID·TYPO 3/typo3@dc26a4a出于安全原因(如上面参考资料中所述),不可能停用持久化标识符的散列(通过HMAC)。
1条答案
按热度按时间ycl3bljg1#
你不能通过任何配置来关闭它。当然你可以直接修改代码,但这不是应该做的事情。
我能问问你为什么要关掉它吗?
一些附加背景取自奥利弗Hader的https://talk.typo3.org/t/disable-hashing-of-ses-id-possible/4617
您提到的更改是安全修复的一部分,TYPO3-CORE-SA-2020-011:会话标识符的明文存储。除此之外,我还在2021年TYPO 3在线日期间从技术上演示了一个潜在的攻击,可以在YouTube上的TYPO3 Online Days 2021 - #T3OD21 - Day 2 - June 30, 2021 - YouTube再次观看
数据库组件的散列实现显示在[SECURITY]中防止直接使用持久化会话ID·TYPO 3/typo3@dc26a4a
出于安全原因(如上面参考资料中所述),不可能停用持久化标识符的散列(通过HMAC)。