Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Sesja długoterminowa - nie wylogowuj.
Forum PHP.pl > Forum > PHP
arrtxp
25.08.2014, 21:17:15
Jak wykonać bezpieczny skrypt przetrzymania sesji ?

Wykonałem coś takiego, przy każdym logowaniu użytkownika przypisuje mu klucz -> zapis do ciastka -> zapis do bazy, po zakończonej sesji i ponownym wkroczeniu użytkownika na stronę skrypt pobiera klucz z ciastka i odnajduję właściciela w bazie i ponownie loguje, hym, ale to raczej nie jest zbyt bezpiecznie...

Michael2318
25.08.2014, 21:49:08
http://forum.php.pl/index.php?showtopic=21...p;#entry1038442

Pobierz dodatkowe wartości, takie jak np. user_agent i generuj porządne klucze, wystarczy.
kartin
25.08.2014, 21:56:45
Opcja "nie wylogowuj" z zasady jest niebezpieczna i dużego pola do manewru tu nie masz. Jak chcesz trochę zwiększyć bezpieczeństwo to:
  • używaj szyfrowanych połączeń,
  • w ciastku dodatkowo ustaw, aby było dostępne tylko po HTTPS i niedostępne dla JavaScript (httponly),
  • zmieniaj klucz cyklicznie co jakiś czas,
  • przy tworzeniu sesji zapamiętuj dodatkowo zawartość nagłówka User-Agent i dopuszczaj automatyczne zalogowanie zalogowanie tylko jeśli wysyłany nagłówek jest taki jak zapamiętany
arrtxp
25.08.2014, 22:13:57
Ok, dzięki.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.