Dois-je faire quelque chose de spécial pour éviter session hijacking en utilisant Kohana framework? Je suppose que la session est manipulée uniquement avec la bibliothèque Kohana SessionÉviter le piratage de session avec Kohana
Les sessions natives sont les plus susceptibles d'être piratées, car elles ne sont pas protégées contre le vol de cookies. Il y a très peu de sécurité appliquée aux sessions natives au-delà des valeurs par défaut que PHP fournit. Pour une meilleure sécurité, vous devez probablement ajouter un agent utilisateur ou une vérification d'adresse IP.
Les sessions de cookies sont salées et prennent en charge le chiffrement. Vous devez changer Cookie::$salt pour augmenter la sécurité.
Les sessions de base de données utilisent également un cookie salé pour stocker l'identifiant de session, donc encore une fois, vous devriez changer le sel.
Modifier: Vous parlez de v2, qui a une plus grande sécurité appliquée à la session, car il étend les sessions natives. Cette approche est plus sujette à des problèmes PHP étranges, mais offre une plus grande sécurité. Vérifiez le fichier de configuration de session pour ajouter les vérifications user_agent et ip_address.
Je voudrais vérifier les fichiers pertinents sur GitHub.
Selon le pilote utilisé, par ex. native ou db, vous voudrez peut-être creuser plus profondément.
Pour plus de sécurité, j'utiliserais des sessions de base de données et crypterais les cookies (qui contiennent l'identifiant de session).