Come parte dell'evento Heartbleed, ho aggiornato OpenSSL, riemesso e sostituito i certificati e revocato quelli vecchi e ho cambiato le password, tuttavia, sto anche consultando i consigli per invalidare tutti i cookie di sessione ( link ) ma non riesco a scoprire come farlo.
Questo si applica solo alle sessioni PHP, per esempio, o è più di questo? Cosa devo fare per garantire che tutte le chiavi e i cookie di sessione siano invalidati?
Grazie
Il modo più semplice per invalidare tutte le sessioni di memoria è semplicemente riavviare i server delle applicazioni, che cancellano la cache della sessione in memoria e rendono non validi i cookie di sessione di tutti.
Inoltre, se si utilizza un framework di accesso che supporta gli accessi persistenti (se si dispone di una casella di controllo "ricordami" nel modulo di accesso), è possibile e dovrebbe eliminare anche tutti gli accessi persistenti dal database.
Una nota è che se lo stato della sessione è condiviso tra i server delle applicazioni in una cache centralizzata (un'impostazione non comune in una configurazione con bilanciamento del carico in cui non sono supportate le sessioni appiccicose), è necessario svuotare la cache.
Leggi altre domande sui tag cookies session-management heartbleed