Cookie e Sicurezza

[Shores]

Originariamente inviato da bubi1
a lui serve per l'auto login.

Ah, ok, allora il mio consiglio è di NON fare l'auto login tramite cookie: anche io l'ho fatto nel mio codice (sebbene secondo me sia meglio non usare affatto username e password ma un altro campo apposito che contenga un valore generato casualmente), ma ormai tutti i browser hanno il salvataggio delle password, che vuoi che costi all'utente fare click su login, soprattutto se fai in modo che dopo aver fatto login lui venga riportato dirattamente alla pagina che aveva richiesto di vedere ma che gli era stata vietata perchè non era loggato...

so che non è una risposta, ma quando si fanno queste cose è anche bene non dimenticare che automatismi troppo automatici sono sempre un rischio per la sicurezza...

[Anarchia_92]

capisco e nn c e nessuna funzione che mi permetta di lascire la sessione memorizzata anche dopo la chiusura del browser vero?

cmq per migliorare la sicurezza delle sessioni c e qualche aspeto particolare da tener conto?

[Shores]

No, per definizione la sessione decade quando il browser viene chiuso.

Quanto a rendere più sicure le sessioni, puoi rigenerare il session id non appena ricevuto username e password, cosa che ti protegge da un certo numero di tecniche di session hijacking, puoi anche volendo controllare l'ip di provenienza dell'utente per vedere se cambia durante la sessione (anche se questo purtroppo con i provider nattati come FastWeb succede anche a utenti legittimissimi), e puoi anche altrettanto verificare che non cambi lo useragent, ma queste ultime cose non sono garanzia di tentativi di hacking, quindi non puoi essere brutale nelle reazioni a questi eventi...

[Anarchia_92]

allora intanto tolgo tt i cookie poi la password verra memorizzata cryptata poi rigenero l id ogni volta che vieneanciato session_start e faccio un controllo nel database poi vedo l user agent potrebbe anche andare bene come piccolo controllo oppure uso l ip vedo... cs credo d essere sbbastanza sicuro...