Question

Я хотел бы повысить безопасность текущего приложения в отношении управления сеансами и хочу, чтобы пользователи входили в систему до тех пор, пока они не выйдут в явном виде.

Как можно реализовать это безопасно?

Хранить информацию о сеансе в базе данных, например, sessionid, ip, useragent?

Пожалуйста, укажите требования, возможно, структуру базы данных, что нужно и чего не нужно делать, советы и рекомендации.

Примечание: Я знаю, что такие фреймворки, как asp.NET, rails, codeigniter и т. Д., Уже позаботились об этом, но это не вариант. На самом деле это для классического приложения ASP. Но я думаю, что этот вопрос не относится к конкретному языку.

Gumbo · Answer 1 · 26 марта 2009

Чтение Усовершенствованная практика использования файлов cookie для постоянного входа в систему (статья и комментарии).

Georg Schölly · Answer 2 · 26 марта 2009

Вы должны знать, что такая система не может быть безопасной, если вы не используете https.

Все довольно просто:

Пользователь входит в систему.
Сервер отправляет пользователю cookie с датой истечения в далеком будущем.
При желании вы можете записать IP-адрес пользователя.
Пользователь запрашивает другую страницу.
Сервер проверяет cookie (возможно, IP-адрес, сохраненный вместе с cookie), видит, что пользователь вошел в систему, и обрабатывает страницу.

Некоторые соображения безопасности:

Как указано выше, безопасного пути нет, если вы не используете https.

Если вы используете виртуальный хостинг, попробуйте выяснить, где хранятся ваши куки. Зачастую они находятся в каталоге / tmp, где каждый пользователь, имеющий доступ к кому-либо и через него, может украсть ваши куки.

Отслеживайте IP, если вы знаете, что компьютер никогда не изменит его.

Не сохраняйте информацию в куки. Просто сохраните случайное число и сохраните принадлежащую ему информацию на сервере в базе данных. (Конечно, в куки может храниться не конфиденциальная информация, такая как предпочтительный цвет).

Program.X · Answer 3 · 26 марта 2009

Создайте печенье со смехотворным сроком действия, например, 2030 или что-то в этом роде. Если вам нужно состояние сеанса, сохраните идентификатор сеанса в файле cookie (зашифрованный, если безопасность является приоритетной) и сопоставьте его с таблицей в базе данных. IP / UserAgent и т. Д., Как правило, являются метаданными, файл cookie является ключом к сеансу.

Безопасная реализация состояния сеанса и функция «держать меня в системе»

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Некоторые соображения безопасности:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасная реализация состояния сеанса и функция «держать меня в системе»

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Некоторые соображения безопасности:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы