kongen
kongemedlem
Istedet for å bare bruke session for å gi en bruker tilgang etter korrekt brukernavn/passord, burde man også ha en db-tabell hvor det logges ip/timestamp ved innlogging, og deretter sjekke for hver side brukeren besøker at ip stemmer, og for hver side brukeren besøker så oppdateres timestamp, og hvis timestamp er lengre enn 20 minutter siden siste oppdatering, så må man logge inn på nytt?
Dette, sammen med å begrense session til domene og httpOnly flag, hva mer må man tenke på for å gjøre en innloggingsløsning sikker?
Dette, sammen med å begrense session til domene og httpOnly flag, hva mer må man tenke på for å gjøre en innloggingsløsning sikker?