Обеспечение безопасности и печенья

Question

У меня мало вопросов по обеспечению безопасности сессий и файлов cookie.

1. Сессия, являющаяся временным файлом на сервере, удаляется при закрытии браузера. Я считаю, что непростой задачей является нарушение сеанса. Более того, все учебники и документации, которые учат секрету защиты, говорят о защите файлов cookie, поэтому я могу предположить, что, когда мы используем только сеансы, срок действия которых истекает на выходе браузера, не требует специальных методов обеспечения безопасности сеанса. Если да, то что мы можем использовать для обеспечения безопасности?
2. Cookies действительно нуждаются в внимании при использовании функций автоматического входа. Мы можем включить строгий режим для дополнительной безопасности, который отвергает неинициализированные сеансы. Не используются файлы cookie в неинициализированных сеансах автоматического входа.
3. При использовании автоматического входа в систему я думаю о том, чтобы безопасно защищать cookie, регенерируя идентификатор сеанса, а затем хэшируя его с помощью sha512, будут ли эти безопасные куки?

Answer 1

1. чтения: The Fast Track to Safe and Secure PHP Sessions.

   Есть несколько способов, вы можете хранить данные сеанса:

   • В файле (поведение по умолчанию в PHP)
   • В базе данных (много рамок делают это)
   • В Memcached (что я делаю)
   • в самом печенье (как правило, плохая идея)

   Если вы не передавать данные сессии (т.е. база данных находится на соседнем r server, или ваш memcached работает на нескольких серверах, и вы не уверены, что он использует TLS для связи между узлами), вам вообще не нужно ничего делать с данными сеанса.

2. Авто-логин - это действительно сложный вопрос и отдельная проблема с обычных сеансов. Ранее я писал около secure "remember me" cookies.

3. Прочтите ссылку в №2. Не сразу понятно, что вы здесь описываете, но это звучит сомнительно.