Apache: Модуль Apache mod_session

RU EN

Пункт 191. Модуль Apache mod_session_crypto

Модули сеанса используют файлы cookie HTTP и, как таковые, могут стать жертвой атак межсайтового скриптинга или предоставить клиентам потенциально личную информацию. Пожалуйста, убедитесь, что соответствующие риски были приняты во внимание, прежде чем включать функции сеанса на вашем сервере.

Этот подмодуль mod_session обеспечивает поддержку шифрования пользовательских сеансов перед записью в локальную базу данных или записью в удаленный браузер через файл cookie HTTP.

Это может помочь обеспечить конфиденциальность пользовательских сеансов, когда содержимое сеанса должно быть скрыто от пользователя, или когда требуется защита от последствий атак с использованием межсайтовых сценариев.

Дополнительные сведения об интерфейсе сеанса см. в документации к модулю mod_session .

Основное использование

Чтобы создать простой зашифрованный сеанс и сохранить его в файле cookie с именем session , настройте сеанс следующим образом:

Зашифрованный сеанс на основе браузера

 Сессия включена
Путь сеанса SessionCookieName=/
SessionCryptoPassphrase секрет

Сессия будет зашифрована данным ключом. Разные серверы можно настроить для совместного использования сеансов, обеспечив использование одного и того же ключа шифрования на каждом сервере.

При изменении ключа шифрования сеансы будут автоматически аннулированы.

Документацию о том, как сеанс можно использовать для хранения сведений об имени пользователя и пароле, см. в mod_auth_form модуле.

Директива SessionCryptoCipher

Описание:	Крипто-шифр, который будет использоваться для шифрования сеанса
Синтаксис:	`SessionCryptoCipher name`
По умолчанию:	`aes256`
Контекст:	конфигурация сервера, виртуальный хост, каталог, .htaccess
Положение дел:	Экспериментальный
Модуль:	mod_session_crypto
Совместимость:	Доступно в Apache 2.3.0 и более поздних версиях.

Директива SessionCryptoCipher позволяет использовать шифр во время шифрования. Если не указано, по умолчанию используется шифр aes256 .

Возможные значения зависят от используемого драйвера шифрования и могут быть одним из следующих:

3des192
aes128
aes192
aes256

Директива SessionCryptoDriver

Описание:	Драйвер шифрования, который будет использоваться для шифрования сеанса.
Синтаксис:	`SessionCryptoDriver name [param[=value]]`
По умолчанию:	`none`
Контекст:	конфигурация сервера
Положение дел:	Экспериментальный
Модуль:	mod_session_crypto
Совместимость:	Доступно в Apache 2.3.0 и более поздних версиях.

Директива SessionCryptoDriver указывает имя криптографического драйвера, который будет использоваться для шифрования. Если он не указан, по умолчанию используется рекомендуемый драйвер, скомпилированный в APR-util.

Драйвер шифрования NSS требует некоторых параметров для настройки, которые указываются как параметры с необязательными значениями после имени драйвера.

NSS без базы данных сертификатов

 SessionCryptoDriver nss

NSS с базой данных сертификатов

 SessionCryptoDriver nss dir=certs

NSS с базой данных сертификатов и параметрами

 SessionCryptoDriver nss dir=certs key3=key3.db cert7=cert7.db secmod=secmod

NSS с путями, содержащими пробелы

 SessionCryptoDriver nss "dir=My Certs" key3=key3.db cert7=cert7.db secmod=secmod

Драйвер шифрования NSS мог быть уже настроен другой частью сервера, например, из mod_nss или mod_ldap . Если обнаружится, что она уже настроена, будет зарегистрировано предупреждение, и существующая конфигурация будет применена. Чтобы избежать этого предупреждения, используйте параметр noinit следующим образом.

NSS с базой данных сертификатов

 SessionCryptoDriver nss noinit

Чтобы избежать путаницы, убедитесь, что все модули, требующие NSS, настроены с одинаковыми параметрами.

Драйвер шифрования openssl поддерживает необязательный параметр для указания механизма, который будет использоваться для шифрования.

OpenSSL с поддержкой движка

 Движок SessionCryptoDriver openssl = имя

Директива SessionCryptoPassphrase

Описание:	Ключ, используемый для шифрования сеанса
Синтаксис:	`SessionCryptoPassphrase secret [ secret ... ]`
По умолчанию:	`none`
Контекст:	конфигурация сервера, виртуальный хост, каталог, .htaccess
Положение дел:	Экспериментальный
Модуль:	mod_session_crypto
Совместимость:	Доступно в Apache 2.3.0 и более поздних версиях.

Директива SessionCryptoPassphrase определяет ключи, которые будут использоваться для включения симметричного шифрования содержимого сеанса перед записью сеанса или расшифровки содержимого сеанса после чтения сеанса.

Ключи более безопасны, когда они длинные и состоят из действительно случайных символов. Изменение ключа на сервере приводит к аннулированию всех существующих сеансов.

Можно указать несколько ключей для поддержки ротации ключей. Первый указанный ключ будет использоваться для шифрования, в то время как все перечисленные ключи будут предприняты для расшифровки. Чтобы чередовать ключи между несколькими серверами в течение определенного периода времени, добавьте новый секрет в конец списка, а после полного развертывания на всех серверах удалите первый ключ из начала списка.

Начиная с версии 2.4.7, если значение начинается с exec: результирующая команда будет выполнена, и первая строка, возвращенная программой в стандартный вывод, будет использоваться в качестве ключа.

 #ключ используется как есть
SessionCryptoPassphrase секрет
# Запустите /путь/к/программе, чтобы получить ключ
SessionCryptoPassphrase exec:/путь/к/программе
# Запустите /path/to/otherProgram и укажите аргументы
SessionCryptoPassphrase "exec:/path/to/otherProgram arguments1"

Директива SessionCryptoPassphraseFile

Описание:	Файл, содержащий ключи, используемые для шифрования сеанса
Синтаксис:	`SessionCryptoPassphraseFile filename`
По умолчанию:	`none`
Контекст:	конфигурация сервера, виртуальный хост, каталог
Положение дел:	Экспериментальный
Модуль:	mod_session_crypto
Совместимость:	Доступно в Apache 2.3.0 и более поздних версиях.

Директива SessionCryptoPassphraseFile указывает имя файла конфигурации, содержащего ключи, используемые для шифрования или дешифрования сеанса, по одному в каждой строке. Файл читается при запуске сервера, и для того, чтобы httpd принял изменения в ключах, потребуется плавный перезапуск.

В отличие от SessionCryptoPassphrase директивы, ключи не отображаются в конфигурации httpd и могут быть скрыты путем соответствующей защиты файла.