Ho cercato di creare sessioni php sicure da utilizzare in uno script di accesso per una settimana circa. Finora non ho trovato una risorsa concreta per basare il mio lavoro, leggendo StackOverflow tutto quello che ho visto sono opinioni e opinioni contrastanti.
Ho deciso di immergermi e dare a scrivere una funzione per iniziare la sessione.
Con una lettura approfondita e guardando la presentazione di Samy Kamkar da DEFCON su Youtube, sono abbastanza fiducioso e soddisfatto del primo pezzo di questo sistema che ho scritto.
$session_name = 'sec_session_id'; // Set a custom session name
$secure = false; // Set to true if using https else leave as false
$httponly = true; // This stops javascript being able to access the session id
ini_set('session.use_only_cookies', 1); // Forces sessions to only use cookies.
ini_set('session.entropy_file', '/dev/urandom'); // better session id's
ini_set('session.entropy_length', '512'); // and going overkill with entropy length for maximum security
$cookieParams = session_get_cookie_params(); // Gets current cookies params.
session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly);
session_name($session_name); // Sets the session name to the one set above.
session_start(); // Start the php session
Questo sarà usato con SSL per motivi di sviluppo non è ...
Quindi la mia domanda è dove posso migliorare su questo script, ho perso qualcosa, cosa dovrei esaminare nel prossimo ...