Sikker innlogging

kongen

kongemedlem
Istedet for å bare bruke session for å gi en bruker tilgang etter korrekt brukernavn/passord, burde man også ha en db-tabell hvor det logges ip/timestamp ved innlogging, og deretter sjekke for hver side brukeren besøker at ip stemmer, og for hver side brukeren besøker så oppdateres timestamp, og hvis timestamp er lengre enn 20 minutter siden siste oppdatering, så må man logge inn på nytt?

Dette, sammen med å begrense session til domene og httpOnly flag, hva mer må man tenke på for å gjøre en innloggingsløsning sikker?
 

xdex

Medlem
Det finnes mange kreative måter og utføre såkalt "session hijack". For å beskytte deg mot slike angrep, kan det absolutt være en fordel og bruke sessions, kombinert med en database.

Fremgangsmåten kan du bestemme selv, men det er ikke unormalt å lagre brukerens IP, samt nettleser informasjon, kombinert med session_id f.eks, for å sjekke at vedkommende som bruker session, faktisk har samme IP og Nettleser-informasjon.

Du kan også være litt mer hardcore, og sjekke om en IP adressen som er "pålogget" faktisk har gått gjennom en suksessfull logg-inn, men igjen, mange kreative måter og sjekke slike ting på.
 
Topp