Situazione successiva:
- L'applicazione è accessibile solo tramite HTTPS / SPDY
- nginx sta inviando l'ID di sessione SSL al server upstream
- All'inizio della sessione mi piacerebbe usare i primi 128 caratteri di quella stringa
- In PHP:
$csrf_token = substr($_SERVER["SSL_SESSION_ID"], 0, 128);
- Il token CSRF viene memorizzato sul server nella sessione dell'utente e verrà generato un nuovo token se viene generata una nuova sessione
Le mie domande:
- Questo approccio è sicuro (abbastanza)?
- Questa domanda riguarda l'utilizzo dell'ID di sessione SSL e non relativo all'utilizzo di token CSRF basati su sessione!
- Sarebbe possibile utilizzare meno caratteri (ad es. 32)?
- Dovrei aggiungere una sorta di sale segreto ad esso?
- Qualcos'altro che potrebbe essere un problema con questo?