Sessões PHP no memcache - caminho da sessão segura

1

O Memcached é bom para sessões enquanto eu leio. Mas o que seguro? Hoje temos mais clientes em um servidor. Cada host virtual possui o próprio session.path. Isso é seguro para evitar a leitura de sessões de outro domínio. Mas que memcache? É possível ler a sessão de outro host virtual? Algumas documentações mostram como o PHP se comunica com o memc.?

    
por Pavel 20.06.2014 / 10:15

1 resposta

2

Se você puder se conectar a uma instância do memcached, poderá despejar facilmente todos os dados dela. O Memcached foi projetado como uma solução de cache rápido, não um armazenamento seguro para dados. Alguns pontos a considerar:

  • O único controle de acesso do memcached é qual interface ele irá escutar
  • Você não tem nenhuma autenticação - quem se conecta a ele obtém os dados
  • O protocolo memcache é muito simples, você não tem nenhum tipo de criptografia (sem SSL, por exemplo)

Continuando: quem tiver acesso ao servidor do memcached, tenha acesso a todos os dados contidos nele.

O PHP tem duas extensões para falar com o servidor memcached: memcache e memcached . Para obter detalhes, você precisa verificar a documentação (ou o código-fonte), mas nenhum deles criptografa os dados antes de enviá-los ao servidor.

    
por 30.07.2014 / 01:19