@Webmaster76 wow! Mi piace! Guarda, mi fido di te:
questa è la tabella: http://cl.ly/image/3X0Y3U3B3h3L
Mi conviene aggiungere anche un check dell'user agent e dell'IP con il token?
Mi conviene dopo un tot di tempo, se l'utente ha scelto il remember (che come puoi vedere, memorizzo), ad esempio facciamo "12 ore", una disattivazione del precedente token e la generazione di uno nuovo assegnandolo senza dover rieffettuare il login?
Io controllo IP e useragent per evitare che qualcuno possa "rubare" la sessione, è una paranoia mentale. Ma la sicurezza non è mai troppa per cosa costa scrivere 2 linee in più...Originariamente inviata da ReAlpha
Anche il token conviene rigenerarlo di tanto in tanto, sempre per questione di sicurezza.Per l'utente è una operazione "trasparente", nel senso che viene generato dopo un login corretto, memorizzato in database e nei cookie.
Un nuovo cms/framework... vuoi collaborare al progetto?
E se l'utente, dopo un riavvio del router, si trova con l'IP cambiato, oppure Chrome di nascosto si aggiorna, e cambia dunque l'useragent perché cambia anche il numero della versione inclusa in esso?Io controllo IP e useragent per evitare che qualcuno possa "rubare" la sessione, è una paranoia mentale. Ma la sicurezza non è mai troppa per cosa costa scrivere 2 linee in più...
Anche il token conviene rigenerarlo di tanto in tanto, sempre per questione di sicurezza.
Vero, ma il session Hijacking è sempre in agguato e le situazioni che descrivi non sono poi così frequenti... dipende dal livello di sicurezza che vuoi dare, io sulla sicurezza non rinuncerei.
Leggi qui ad esempio:
http://phpsec.org/projects/guide/4.html
Un nuovo cms/framework... vuoi collaborare al progetto?
Permessi di invio
Rispondi quotando