La sessione precedente di ripristino di FireFox ripristina gli accessi autenticati dalle sessioni del server

4

In un sito Web che sto creando quando eseguo il login, chiudo FireFox, apro FireFox e provo ad accedere nuovamente al sito web Devo effettuare nuovamente il login (come previsto) MA se seleziono "Restore Previous Session", ho effettuato nuovamente l'accesso. Considero questa una minaccia alla sicurezza poiché molti utenti si aspettano di essere disconnessi dopo la chiusura del browser. Controllo una sessione valida di

session_start();
if(isset($_SESSION['loggedIn']))

e se questo è vero l'utente ha effettuato l'accesso.

In I.E. Non ero in grado di riprodurre questo. Come può essere risolto?

    
posta Celeritas 04.03.2013 - 19:23
fonte

4 risposte

5

Imposta il session.cookie_lifetime=0 di PHP. Con un valore pari a zero, il token di sessione verrà distrutto alla chiusura del browser. session.gc_maxlifetime continuerà a distruggere la sessione dopo un periodo di tempo.

    
risposta data 04.03.2013 - 19:29
fonte
2

Questo è un bug di sicurezza di lunga data di Firefox che è almeno in circolazione dal 2008. Per esempio vedi link ("Le schede Salva ed Esci non dovrebbero salvare i cookie di sessione di to-be- schede ripristinate ").

Ulteriori dettagli e una soluzione sono descritti anche a link in "Firefox non elimina i cookie all'uscita. Quando lo farà?".

La soluzione alternativa è circa about: config to set

  • browser.sessionstore.privacy_level = 1 o 2
  • browser.sessionstore.privacy_level_deferred = 1 o 2

come descritto nel commento 48 del bug report sopra.

    
risposta data 25.03.2013 - 18:33
fonte
1

Non è un bug, è una funzionalità.

La funzione ripristino sessione di Firefox, come dice il nome, dovrebbe ... ripristinare la mia sessione. L'intera sessione. Compreso lo stato delle schede, i loro dati del modulo ... Tutto. E questo è fantastico. Questo è l'obiettivo del ripristino della sessione.

Le applicazioni di Mac OS X Mountain Lion ora sono stateful , come sull'iPad. Le app ora hanno il loro stato salvato all'uscita e ripristinato al rilancio. Questo comportamento delle applicazioni Mac è ora raccomandato da Linee guida di Apple per gli sviluppatori .

I sistemi informatici si comporteranno sempre più in questo modo, e questa è una buona mossa. Meglio abituarsi ad esso. Questo può essere un po 'inquietante all'inizio, a causa delle nostre abitudini. Ma per i nuovi arrivati, è più naturale. È sempre una buona idea pensare all'analogia della carta. Diciamo che sto scrivendo nel mio taccuino, sono nel bel mezzo di una frase, e improvvisamente chiudo il mio taccuino e dormo. Senza fare alcuna azione "Salva", senza nemmeno pensare a un'azione "Salva". Tre giorni dopo, quando apro di nuovo il mio taccuino, trovo la pagina esattamente come l'avevo lasciata . Questa esperienza utente è buona. Nel software del computer, anche la stessa esperienza utente è buona, e me lo aspetto.

    
risposta data 04.03.2013 - 22:15
fonte
1

Questo succede se si imposta FireFox per distruggere tutti i cookie all'uscita? Ci sono alcuni add-on là fuori che ti aiuteranno a migliorare il controllo dei cookie e quando distruggerli. Ciò può aiutare a garantire che i cookie vengano distrutti tra un lancio e l'altro.

Non sono sicuro che nessuna delle impostazioni sulla privacy di FireFox farà questo built-in senza un addon.

    
risposta data 05.03.2013 - 04:22
fonte