Orada bir güzel article on denzone about avoiding identity theft. Zend_Session_Validator_HttpUserAgent gelmeden önce Ancak yazılmıştır
Nasıl kullanabilirim Zend_Session_Validator_HttpUserAgent?
Zend_Sesion::registerValidator(new Zend_Session_Validator_HttpUserAgent());
Zend_Session::rememberMe();
Hepsi mi?
Bu fonksiyon dışında bunu sınıfların bir family içinde gibi görünüyor:
This method should be used to retrieve the environment variables that will be needed to 'validate' a session.
Bu acı çok aptalca. Lütfen oturum XSS kullanırken kaçırıldı zaman muhtemelen bir GET isteği olarak gönderilecektir. Gelen HTTP isteği User_Agent yanı sıra, saldırganın kontrol edebilirsiniz birçok diğer "ortam değişkenleri" içerecektir.
Bu yaklaşım bir zaman israfı çağrılması yetersizdir. Bu not bir güvenlik özelliğidir ve oturumları never bu şekilde korunabilir vardır.
Eğer koruma istiyorsanız oturumları scan for xss, yama CSRF, entire session için https kullanın. Özellikle A3, 2010 için OWASP ilk 10 okuyun: "Kırık kimlik doğrulama ve oturum yönetimi."