Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Sesja długoterminowa - nie wylogowuj.
-arrtxp-
post
Post #1





Goście







Jak wykonać bezpieczny skrypt przetrzymania sesji ?

Wykonałem coś takiego, przy każdym logowaniu użytkownika przypisuje mu klucz -> zapis do ciastka -> zapis do bazy, po zakończonej sesji i ponownym wkroczeniu użytkownika na stronę skrypt pobiera klucz z ciastka i odnajduję właściciela w bazie i ponownie loguje, hym, ale to raczej nie jest zbyt bezpiecznie...

Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
kartin
post
Post #2





Grupa: Zarejestrowani
Postów: 246
Pomógł: 79
Dołączył: 25.05.2010

Ostrzeżenie: (0%)
-----


Opcja "nie wylogowuj" z zasady jest niebezpieczna i dużego pola do manewru tu nie masz. Jak chcesz trochę zwiększyć bezpieczeństwo to:
  • używaj szyfrowanych połączeń,
  • w ciastku dodatkowo ustaw, aby było dostępne tylko po HTTPS i niedostępne dla JavaScript (httponly),
  • zmieniaj klucz cyklicznie co jakiś czas,
  • przy tworzeniu sesji zapamiętuj dodatkowo zawartość nagłówka User-Agent i dopuszczaj automatyczne zalogowanie zalogowanie tylko jeśli wysyłany nagłówek jest taki jak zapamiętany
Go to the top of the page
+Quote Post

Posty w temacie
- arrtxp   Sesja długoterminowa - nie wylogowuj.   25.08.2014, 21:17:15
- - Michael2318   http://forum.php.pl/index.php?showtopic=21...p;#en...   25.08.2014, 21:49:08
- - kartin   Opcja "nie wylogowuj" z zasady jest nieb...   25.08.2014, 21:56:45
- - arrtxp   Ok, dzięki.   25.08.2014, 22:13:57


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 9.10.2025 - 01:45