Sesja długoterminowa - nie wylogowuj. Opcje

[-arrtxp-]

Jak wykonać bezpieczny skrypt przetrzymania sesji ?

Wykonałem coś takiego, przy każdym logowaniu użytkownika przypisuje mu klucz -> zapis do ciastka -> zapis do bazy, po zakończonej sesji i ponownym wkroczeniu użytkownika na stronę skrypt pobiera klucz z ciastka i odnajduję właściciela w bazie i ponownie loguje, hym, ale to raczej nie jest zbyt bezpiecznie...

[Michael2318]

http://forum.php.pl/index.php?showtopic=21...p;#entry1038442

Pobierz dodatkowe wartości, takie jak np. user_agent i generuj porządne klucze, wystarczy.

Ten post edytował Michael2318 25.08.2014, 21:50:04

[kartin]

Opcja "nie wylogowuj" z zasady jest niebezpieczna i dużego pola do manewru tu nie masz. Jak chcesz trochę zwiększyć bezpieczeństwo to:

• używaj szyfrowanych połączeń,
• w ciastku dodatkowo ustaw, aby było dostępne tylko po HTTPS i niedostępne dla JavaScript (httponly),
• zmieniaj klucz cyklicznie co jakiś czas,
• przy tworzeniu sesji zapamiętuj dodatkowo zawartość nagłówka User-Agent i dopuszczaj automatyczne zalogowanie zalogowanie tylko jeśli wysyłany nagłówek jest taki jak zapamiętany

[-arrtxp-]

Ok, dzięki.