Buone pratiche di sessione

• Utilizza un database per le sessioni.
• Rigenera la sessione quando il le autorizzazioni cambiano (ad esempio, quando un utente accedi).
• Rigenera la sessione su ogni pagina caricare (facoltativo).
• Non esporre l'ID di sessione in URL.
• Non esporre dati sensibili alla sessione.

Oltre all'elenco di VirtuosiMedia:

• Utilizza TLS (SSL) su tutto il sito. Utilizza l'intestazione HSTS.
• Utilizza un cookie di sessione, anziché aggiungere un token di sessione a ogni link-href e form-action.
• Utilizza i flag secure e httpOnly sul cookie.
• Utilizza l'intestazione X-Frame-Options .
• Mantenere il contenuto della sessione minimale. Ad esempio, memorizza solo l'id utente. Se è necessaria la memorizzazione nella cache, memorizza la cache in un livello di memorizzazione nella cache generale, non nella sessione.
• Firmare crittograficamente il cookie di sessione con una chiave segreta nota solo al server. Includere una scadenza datetime nei dati firmati. Controlla la firma e la scadenza sul server ad ogni richiesta.

Scade la sessione dopo un ragionevole lasso di tempo ... Elimina la sessione da qualsiasi utilizzo come repository, in modo che non possa essere riutilizzata ...

non salvare la password o altre informazioni utente ad eccezione dell'ID utente per la sessione.

Implementa DNSSec per proteggere la tua sessione HTTPS dagli attacchi tramite WiFi, o reti pubbliche tra cui cablate / commutate .

Utilizza HTTPS solo per i cookie che non richiedono l'accesso Javascript

Utilizza l'attributo di sicurezza per tutti gli altri cookie

Non consentire javascript di terze parti sul tuo sito

Simile a quanto sopra, non pubblichi annunci sul tuo sito