Sessioni ospiti e CSRF [duplicato]

0

Che cosa è considerata una pratica comune per limitare la scadenza della sessione per utenti non autenticati? Il motivo per cui utilizziamo una sessione per gli ospiti consiste nell'impedire le richieste di falsificazione di siti quando gli ospiti inviano un modulo. Stiamo valutando l'implementazione di una sessione mantenuta in vita per gli ospiti e gli amministratori, oppure estendendo la scadenza della sessione a qualcosa di più lungo dei 24 minuti predefiniti di php nel caso di ospiti non autenticati.

Precisazione: questa domanda riguarda gli ospiti anonimi, che non accedono al sito.

    
posta Tadd Eells 12.07.2017 - 23:13
fonte

2 risposte

0

Raccomando di utilizzare diversi identificativi univoci in questo caso, ad es. cookie dell'utente con una stringa casuale e univoca, ad esempio USER_ID e un token di sessione, ad es. SESSID. Il token di sessione dovrebbe scadere come previsto, tuttavia rimane USER_ID. In questo modo sarai in grado di identificare gli utenti che hanno già visitato il tuo sito Web e utilizzare ancora il nuovo SESSID come protezione contro CSRF.

L'estensione della durata delle sessioni non è una buona idea, soprattutto se si utilizza questo token per verificare l'identità dell'utente (nel caso di account amministratore).

    
risposta data 12.07.2017 - 23:29
fonte
0

Dipende da quanto sono sensibili le azioni che gli utenti possono intraprendere e da quanto sei sicuro che i token di sessione siano sicuri. Ad esempio, la maggior parte delle banche distruggerà automaticamente le sessioni dopo aver dichiarato 15 minuti di inattività, mentre le sessioni dell'account Google possono durare indefinitamente.

Se imposti i flag HttpOnly e Secure sul tuo cookie di sessione, puoi essere ragionevolmente sicuro che non può essere facilmente rubato e personalmente mi sentirei a mio agio con esso per più di un mese. Se non puoi usare HttpOnly e Secure (specialmente Secure) probabilmente lo limiterei a meno di un giorno, o anche un'ora.

Se sto capendo correttamente la risposta di Valery Marchuk, non fornirebbe alcun beneficio e renderei il dirottamento di sessione banale se USER_IDs sono prevedibili (vorrei commentare ma non ho 50 rep).

    
risposta data 13.07.2017 - 17:38
fonte

Leggi altre domande sui tag