Sto sviluppando il mio sito usando sessioni lato server usando redis come backend per salvare la sessione.
Ora il problema che mi dà fastidio è che l'utente lascia il sito Web senza disconnettersi. Voglio dire, l'utente chiude semplicemente il browser che causa la cancellazione del cookie.
Ora la sessione dell'utente è ancora presente sul server e non verrà più utilizzata poiché il nuovo accesso richiede la creazione di una nuova sessione a causa di motivi di sicurezza. Per evitare il caso in cui l'hacker ruba il vecchio cookie e lo usa dopo aver effettuato nuovamente l'accesso con lo stesso vecchio ID di sessione.
In pratica, l'utente lascia il sito Web senza effettuare esplicitamente il logout e la sua sessione verrà cancellata dopo un certo limite di tempo di inaccessibilità. Sto pensando a un limite di tempo di 30-60 minuti. Inoltre, con ogni nuova richiesta da parte dell'utente, il suo cookie verrà aggiornato anche per tenere traccia di quando l'utente ha effettuato l'ultima visita al sito.
Ma al giorno d'oggi, le persone lasciano che il sito rimanga aperto per lungo tempo senza accedervi. Ad esempio, gli utenti aprono Facebook e Gmail in nuove schede e si dimenticano di loro per 2-3 ore e ancora non gli viene chiesto di effettuare nuovamente il login.
L'accesso a una sessione di 2-3 ore fa è sicuro? La mia preoccupazione è che qualcuno rubi il cookie dell'utente e lo usi 2-3 ore dopo.
Pensare a questo argomento mi ha anche costretto a chiedermi come Facebook gestisca la sicurezza se l'utente può utilizzare una sessione in cui non la accede per lunghi periodi di tempo e continua a rimanere loggato. O non è sicuro per me mantenere il login quando non accedo alla sessione del sito per un periodo di tempo più lungo?
Può anche darsi che ci sia un meccanismo di ping usando i siti che tengono traccia degli utenti che hanno il loro sito aperto in un browser e quando il browser si chiude vengono avvisati e possono lavorare di conseguenza.
Il mio sito web è un social network e necessita di tutte quelle funzionalità di sicurezza e di utilizzo di cui un social network potrebbe aver bisogno.
Sono nuovo alla sicurezza web e allo sviluppo web in generale e potrebbe essere il caso in cui le mie precedenti domande potrebbero sembrare un po 'di base. Se ritieni che sia il caso, indica gentilmente un buon riferimento dove posso leggere e trovare le risposte alla mia domanda.