#session-management
#управление сеансами
Вопрос:
Я ищу общие рекомендации о том, как спроектировать безопасную систему управления сеансами. Система, которая у меня есть в настоящее время, соответствует этому дизайну, но до меня только что дошло, насколько глупо помещать всю эту чушь в каждый URL, особенно когда задействованы веб-индексаторы / Google Analytics. Мне бы не хотелось думать, что я просто зря потратил свое время, следуя ужасно написанному техническому документу, поэтому, я думаю, мой вопрос в том, стоит ли переписывать мою систему управления сеансами, и если да, то как вообще я должен ее разрабатывать? Спасибо.
Комментарии:
1. Любой заслуживающий внимания веб-сайт использует файлы cookie. Почему вы не можете? Если вы можете, проверьте, как PHP / Apache и Java / Tomcat сохраняют сеанс в файлах cookie. Это текущий стандарт, предполагающий, что вам не нужно беспокоиться о балансировке нагрузки между серверами.
2. Вы читали ссылку, которую я разместил в разделе «Хорошее управление сеансами»? Он частично использует файлы cookie.
3. Я бегло просмотрел это и знаком с тремя методами. Мне просто было любопытно, почему встроенное в большинство популярных платформ управление состоянием сеанса не будет работать для вас «из коробки» и с какими особыми ограничениями вы сталкиваетесь, поскольку мало кто пишет управление сеансами с нуля.
Ответ №1:
Эти две статьи должны дать вам больше информации —
* http://www.linuxforu.com/2011/02/securing-apache-part-6-attacks-session-management /
* https://wiki.mozilla.org/WebAppSec/Secure_Coding_Guidelines#Session_Management