Autenticazione utente e gestione delle sessioni

Question

Autenticazione utente e gestione delle sessioni

#1 da (2 voti)

2

Uno dei modi fondamentali per gestire l'autenticazione e l'autenticazione di accesso utente; la gestione della sessione è memorizzando le variabili nello spazio della sessione più l'impostazione di alcuni dati nei cookie sul computer client, mentre a volte nel database.

Ho usato questa tecnica più semplice in molti dei miei studi accademici e in alcuni progetti online. Ma non ne sono sicuro.

I siti Web di sicurezza come Amazon, Gmail o Facebook utilizzano la stessa tecnica per il login e l'utilizzo degli utenti. gestione delle sessioni o ci sono più cose di quelle che ho conosciuto?

Questa potrebbe rivelarsi una domanda molto generica, ma mi piacerebbe davvero sapere se ci sono altri o diversi modi usati (come a gmail, stackexchange o myspace) per gestire l'autenticazione e l'autenticazione di accesso utente; gestione delle sessioni in particolare.

security authentication session login

posta tGilani 17.07.2013 - 07:19

fonte

1 risposta

Leggi altre domande sui tag security authentication session login

Che cos'è un requisito non funzionale? [duplicare] Qual è il modo migliore per memorizzare la data?

score 2 · Answer 1

Se utilizzi uno qualsiasi di questi siti, dai un'occhiata al negozio di cookie del tuo browser: vedrai che stanno facendo esattamente quello che chiedi.

I problemi principali con i cookie e la sicurezza sono che sono memorizzati sul computer client e trasmessi avanti e indietro sul server, quindi non si desidera memorizzare informazioni importanti (come password utente )!

Considera l'uso di HTTPS per effettuare attacchi per la sessione (dove un utente malintenzionato annusa l'ID della sessione mentre il client lo trasmette al server e usa quello per mascherarsi come client) un po 'più difficile; in un certo numero di casi (Facebook usa passaggi aggiuntivi per confermare la tua identità se usi un nuovo indirizzo IP, i tracker Bugzilla / Mantis ti chiedono di effettuare nuovamente il login), le sessioni vengono invalidate se qualche altra caratteristica identificativa come l'indirizzo IP cambia e le sessioni possono avere un timeout che può anche ridurre il valore del furto dell'ID di sessione.

Infine, dato che sono (tipo di) input da parte dell'utente, non dovresti fidarti di loro! Prendi le solite precauzioni per evitare cose come l'iniezione SQL ecc.