Переключился бы на session.cookie_secure вывести моих пользователей?

Question

Я бег HTTPS сайта и хотел бы, чтобы включить их в php.ini для повышения безопасности:

session.cookie_httponly = 1 
session.cookie_secure = 1 

я мог бы найти много информации об этом в Интернете, но не в связи с сохранением старого идентификатор сеанса при включении.

Возможно, это приведет к автоматическому выходу пользователей из-за того, что php теперь ожидает наличия безопасных куки-файлов, но вошедшие в систему пользователи не имеют этих ... сразу после переключения?

Answer 1

Да, он выйдет из системы, потому что их сеанс закончится.

Answer 2

Анекдотично, я включил это для сотен веб-сайтов в моей карьере, которые использовали HTTPS, и никогда не заставляли его регистрировать всех.

Эти настройки .ini обычно применяются к новым файлам cookie сеанса, а флаг secure предназначен для браузеров, чтобы они не передавали HTTP. Он не должен иметь никаких ретроактивных последствий.

Код для session_start() вызывает функцию C, называемую php_session_start() которая (в большинстве случаев) checks $_COOKIE.

Код для обработки файлов cookie: SAPI-dependent, но не содержит никакой конкретной логики для «если secure не был установлен, отбросьте его сейчас, когда мы его ожидаем».

Запрет на какой-то странный код SAPI, который содержит эту логику, наиболее вероятно, что файлы cookie больше не отправляются на конечные точки HTTP, которые не имеют HTTPS, поэтому кажется, что пользователи выходят из системы (но только если они не являются используя HTTPS везде).

Короче:

• Нет, это не пользователей выйти из системы, если они не не просматривают через HTTPS (что они должны делать)
• Однако, если это является происходит , временное неудобство стоит выгоды безопасности.