Я заранее прошу прощения, потому что я не очень хорош в объяснении вещей и блок-схем. Это не конкретная проблема кода, а общий вопрос безопасности сеанса.
Я пытаюсь устранить как можно больше потенциальных проблем одновременно. Я думаю, что это заботится о:
- CSRF
- Фиксация сессии
- Сеансовый прогноз
- Кража файлов cookie (из-за уязвимостей браузера)
- Сеанс подделки
Я понимаю, что сеанс все еще может быть взломан, если как IP-адрес атакующего, так и заголовок агента пользователя совпадают с идентифицированным пользователем. Я полагаю, чтобы сделать это пуленепробиваемым, вам понадобится SSL?
Буду признателен за любые критические замечания, если вы сможете разобрать, что я пытаюсь сказать, с помощью кластерного фека ниже. Это более или менее то, что я делаю:
РЕДАКТИРОВАТЬ - еще один вопрос, который у меня возник: безопасно ли предположить, что у пользователя не будет IP-адреса, который меняется достаточно часто, чтобы это стало проблемой?
