我有一個 apache 2.4 伺服器,配置了mod_auth_form,mod_session和mod_session_crypto用於加密會話 cookie 的內容。
如果我沒記錯的話,預設加密應該使用 OpenSSL 和 aes256 密碼。這是一種使用私鑰和公鑰的非對稱密碼。我不太明白該SessionCryptoPassphrase指令。這個密碼的具體用途是什麼?該文檔聲明如下:
SessionCryptoPassphrase 指令指定用於啟用的金鑰對稱在寫入會話之前對會話內容進行加密,或在讀取會話之後對會話內容進行解密。
最後,我的問題是,以這種方式加密的 cookie 的安全性如何?它們仍然包含用戶名和密碼,只是經過加密。駭客能否破解此漏洞並存取其中的資料?知道這個密碼短語是否能讓駭客取得 cookie 中的資訊?
答案1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156用途https://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14它根據提供的密碼產生密鑰。我不清楚 IV 是如何設定/確定的,但他們至少使用 CBC 模式,所以它看起來足夠安全。
不幸的是,對我來說,我想與另一個後端應用程式共享 cookie,並且mod_session_dbd即使使用相同的密碼,嘗試使用似乎也比完全複製 KDF 更容易。