Session Hijacking

Altervista permette di modificare il file php.ini per settare le session configurations in modo da limitare hijacking o questo tipo di impostazioni è già settata di default?

es. session configurations:

Codice PHP:

session.cookie_httponly = 1 (aiuta a mitigare XSS)
session.session.use_only_cookies = 1 (impedisce la fissazione della sessione)
session.entropy_file = "/dev/urandom" (migliore fonte di entropia)
session.cookie_lifetime = 0 (sfruttamento minore per XSS / CSRF / clickjacking...)
session.cookie_secure = 1 (violazioni A9 OWASP)


Wow è vero che ho poche views ma possibile che nessuno sappia rispondermi o sono io che mi sto rivolgendo al posto sbagliato?

[javascripter]

Non puoi modificare il file php.ini.
Personalmente, non so il valore di quelle configurazioni, ma per darti almeno una risposta ho cercato risposte nella funzione ini_get.

L'output è stato:

Codice:

session.cookie_httponly = string(0) ""
session.session.use_only_cookies = Non impostato
session.entropy_file = string(0) ""
session.cookie_lifetime = string(1) "0"
session.cookie_secure = string(0) ""

Lo script (giusto per farti capire cosa ho fatto):

Codice PHP:

<?php
header('Content-Type: text/plain; charset=ISO-8859-1');
$names = array('session.cookie_httponly', 'session.session.use_only_cookies', 'session.entropy_file', 'session.cookie_lifetime', 'session.cookie_secure');

foreach($names as $name) {
$value = ini_get($name);
echo $name, ' = ';
if($value === false)
echo 'Non impostato', PHP_EOL;
else
var_dump($value);
}
?>

Grazie della risposta.
Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?

[javascripter]

La mia non è una certezza, bisognerebbe avere una risposta da parte dello staff tecnico di altervista.
Intanto prova a fare una richiesta qui (di controllo e/o modifica delle impostazioni): http://forum.it.altervista.org/servizi/ che è la sezione più appropriata per proporre cambiamenti/aggiunte.

[karl94]

Grazie della risposta.
Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?

Non capisco esattamente quali sono le tue esigenze, l'impostazione di session.cookie_secure implicherebbe già l'obbligo di usare una connessione cifrata...

I mio intento era quello di limitare al massimo ogni possibilità di hijackin/xss (per un mio sito) e facendo una ricerca su google ho trovato quei settings che ho postato prima su stack exchange , ma c'era un problema ,perchè sempre ammesso che fossero corrette bisognava modificare alcuni parametri del file php.ini e siccome questa operazione non è possibile volevo sapere se fossero già impostate di default...
Nel caso siano scorrette accetto volenieri altri consigli su come implementare questo mio intento.