1. Home
  2. Tutoriais
  3. PHP
  4. Voltar para Segurança e Boas Práticas
  5. Como proteger cookies de sessão contra roubo no PHP?

Protegendo cookies de sessão no PHP contra roubo e manipulação

Métodos para proteger cookies de sessão no PHP, garantindo segurança contra ataques como Session Hijacking e Session Fixation.

Neste tutorial:

Introdução

Cookies de sessão são fundamentais para gerenciar autenticações e acessos no PHP. No entanto, se não forem protegidos corretamente, podem ser roubados por atacantes, permitindo que eles assumam a identidade do usuário. Configurar cookies corretamente é essencial para evitar ataques como Session Hijacking e Session Fixation.

1. Configurando cookies de sessão de forma segura

O PHP permite configurar cookies de sessão com parâmetros que aumentam sua segurança. No início do código, configure a sessão com:

session_set_cookie_params([
    'lifetime' => 0,
    'path' => '/',
    'domain' => '',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);
session_start();

Explicação dos parâmetros:

  • secure => true: O cookie só será enviado por conexões HTTPS.
  • httponly => true: Impede que o cookie seja acessado via JavaScript, prevenindo ataques XSS.
  • samesite => 'Strict': Restringe o envio do cookie apenas a requisições do mesmo site.

2. Regenerando o ID da sessão para evitar reutilização

Para evitar que um atacante reutilize um ID de sessão roubado, regeneramos o ID sempre que o usuário faz login:

session_regenerate_id(true);

Isso cria um novo identificador de sessão e invalida o anterior.

3. Protegendo contra Session Fixation

Session Fixation ocorre quando um atacante força um usuário a usar um ID de sessão pré-definido. Para evitar isso, sempre inicialize sessões sem aceitar IDs de sessão vindos de requisições GET:

ini_set('session.use_only_cookies', 1);

Isso impede que a sessão seja fixada via URL.

4. Definindo um tempo de expiração da sessão

Podemos configurar um tempo limite para a sessão e invalidá-la após inatividade:

if (!isset($_SESSION['ultimo_acesso'])) {
    $_SESSION['ultimo_acesso'] = time();
} elseif (time() - $_SESSION['ultimo_acesso'] > 1800) {
    session_destroy();
    header("Location: login.php");
    exit();
}
$_SESSION['ultimo_acesso'] = time();

Isso encerra a sessão se o usuário estiver inativo por mais de 30 minutos.

5. Monitorando tentativas de roubo de sessão

Podemos armazenar o IP e o User-Agent do usuário na sessão e verificar se houver mudanças suspeitas:

if (!isset($_SESSION['ip_usuario'])) {
    $_SESSION['ip_usuario'] = $_SERVER['REMOTE_ADDR'];
    $_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT'];
} elseif ($_SESSION['ip_usuario'] !== $_SERVER['REMOTE_ADDR'] || $_SESSION['user_agent'] !== $_SERVER['HTTP_USER_AGENT']) {
    session_destroy();
    die("Sessão comprometida.");
}

Isso evita que um atacante use um cookie roubado em outro dispositivo.

Conclusão

Proteger cookies de sessão no PHP é essencial para evitar ataques e garantir a segurança dos usuários. Configurar cookies corretamente, regenerar IDs, definir tempos de expiração e monitorar mudanças na sessão são medidas eficazes para mitigar riscos e reforçar a proteção da aplicação.

Por que proteger cookies de sessão no PHP é essencial?

Os cookies de sessão são frequentemente explorados por atacantes que buscam roubar credenciais e assumir o controle de contas. Sem uma configuração adequada, vulnerabilidades como Session Hijacking e Session Fixation podem comprometer toda a aplicação.

A melhor estratégia para evitar esses ataques é garantir que os cookies sejam restritos a conexões seguras (secure), inacessíveis a JavaScript (httponly) e usados apenas no mesmo site (samesite=Strict). Além disso, regenerar o ID da sessão frequentemente e validar informações do usuário, como IP e User-Agent, ajudam a impedir o uso indevido de sessões roubadas.

Implementar essas práticas aumenta a proteção das sessões no PHP e reduz significativamente as chances de exploração por invasores.

Algumas aplicações:

  • Evitar o roubo de sessões por meio de ataques de *Session Hijacking*.
  • Proteger usuários contra exploração de cookies via JavaScript malicioso.
  • Impedir reutilização de sessões em dispositivos ou locais diferentes.
  • Garantir que sessões não sejam fixadas manualmente por atacantes.

Dicas para quem está começando

  • Sempre utilize session_set_cookie_params() para configurar cookies com segurança.
  • Habilite secure, httponly e samesite=Strict para proteger os cookies.
  • Registre o IP e o *User-Agent* do usuário para detectar sessões roubadas.
  • Evite armazenar dados sensíveis diretamente na sessão.
  • Regenerar o ID da sessão após login aumenta a segurança.

Contribuições de Renata Oliveira

Compartilhe este tutorial: Como proteger cookies de sessão contra roubo no PHP?

Compartilhe este tutorial

Continue aprendendo:

Como configurar CORS corretamente para evitar problemas de segurança no PHP?

Métodos para configurar CORS no PHP corretamente, evitando vulnerabilidades de segurança e protegendo APIs contra acessos não autorizados.

Tutorial anterior

Como garantir a segurança da autenticação de usuários no PHP?

Métodos para garantir a segurança da autenticação de usuários no PHP, evitando vulnerabilidades e acessos indevidos.

Próximo tutorial
Voltar para Segurança e Boas Práticas