Buone pratiche di sessione

22

Quali sono alcune buone pratiche per garantire che gli accessi, gli ID di sessione e i contenuti delle sessioni siano sicuri per un sito web?

    
posta James T 11.11.2010 - 23:28
fonte

5 risposte

21
  • Utilizza un database per le sessioni.
  • Rigenera la sessione quando il le autorizzazioni cambiano (ad esempio, quando un utente accedi).
  • Rigenera la sessione su ogni pagina caricare (facoltativo).
  • Non esporre l'ID di sessione in URL.
  • Non esporre dati sensibili alla sessione.
risposta data 11.11.2010 - 23:37
fonte
9

Oltre all'elenco di VirtuosiMedia:

  • Utilizza TLS (SSL) su tutto il sito. Utilizza l'intestazione HSTS.
  • Utilizza un cookie di sessione, anziché aggiungere un token di sessione a ogni link-href e form-action.
  • Utilizza i flag secure e httpOnly sul cookie.
  • Utilizza l'intestazione X-Frame-Options .
  • Mantenere il contenuto della sessione minimale. Ad esempio, memorizza solo l'id utente. Se è necessaria la memorizzazione nella cache, memorizza la cache in un livello di memorizzazione nella cache generale, non nella sessione.
  • Firmare crittograficamente il cookie di sessione con una chiave segreta nota solo al server. Includere una scadenza datetime nei dati firmati. Controlla la firma e la scadenza sul server ad ogni richiesta.
risposta data 10.10.2011 - 13:36
fonte
8

Scade la sessione dopo un ragionevole lasso di tempo ... Elimina la sessione da qualsiasi utilizzo come repository, in modo che non possa essere riutilizzata ...

    
risposta data 11.11.2010 - 23:45
fonte
6

non salvare la password o altre informazioni utente ad eccezione dell'ID utente per la sessione.

    
risposta data 12.11.2010 - 01:24
fonte
6

Implementa DNSSec per proteggere la tua sessione HTTPS dagli attacchi tramite WiFi, o reti pubbliche tra cui cablate / commutate .

Utilizza HTTPS solo per i cookie che non richiedono l'accesso Javascript

Utilizza l'attributo di sicurezza per tutti gli altri cookie

Non consentire javascript di terze parti sul tuo sito

Simile a quanto sopra, non pubblichi annunci sul tuo sito

    
risposta data 04.10.2011 - 19:07
fonte

Leggi altre domande sui tag