Durante il periodo in cui ho trascorso delle pause dall'apprendimento di come PHP supporta Unicode, ho cercato di rendere i miei cookie "Remember Me" un po 'più sicuri. Comunque ci sono alcune cose che non capisco e alcune delle mie riflessioni mi piacerebbe qualche suggerimento e opinione su.PHP: Ricordami e sicurezza?
1) Esiste un metodo per l'adozione di una funzionalità "Ricordami" che non riguarda i cookie? Curioso poiché ci sono evidenti difetti di sicurezza nella memorizzazione dei cookie di autenticazione. Non che non ci siano rischi per la sicurezza in quasi tutto.
2) Poiché non sto lavorando con una banca o con informazioni "altamente sensibili", è necessario richiedere agli utenti di immettere le proprie password per le aree più "di alto profilo"? Sembra che ricordare un login sarebbe uno spreco se solo chiedessimo loro di effettuare il login in ogni caso due minuti dopo.
3) Qual è il metodo migliore in assoluto per l'archiviazione di un cookie di autenticazione (a parte "non del tutto")? Al momento ho codificato quell'area per impostare un singolo token nel cookie (hash usando time(), il loro user agent, remote_addr e un salt-sha256). Quando l'utente torna, controlla la tabella "sessioni" per il token, quindi associa IP a IP per registrarli. Se il token è presente ma l'IP non corrisponde, disattiva automaticamente il cookie e chiede loro di accedere come se non ne avessero uno
Grazie ancora a tutti.
Si dovrebbe ri-utilizzare un framework di autenticazione esistente quando possibile, perché, in realtà, è complesso. Ad esempio, dai un'occhiata a https://github.com/delight-im/PHP-Auth. Avrai bisogno di un po 'di archiviazione persistente sul lato client per ciò che stai cercando di fare - e quindi i cookie sono la scelta ideale. – caw