@Dwellss

Почему опасно в php выставлять неограниченное время жизни сессии?

Собственно, сабж. Юзеры при регистрации не помнят ни пароля, часто даже не помнят на какой имейл регистрировались. При этом их разлогинивает.
Подскажите, насколько опасно в php выставлять неограниченное время жизни сессии?
  • Вопрос задан
  • 272 просмотра
Решения вопроса 1
Steel_Balls
@Steel_Balls
0L3QsNGH0LjQvdCw0Lsg0YEgQkFTSUMg0L3QsCDQo9Ca0J3Qpi
опасно из-за MITM-атак и перехвата сессии.
Если у тебя нет https, то перехват сессии будет 100%
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Что сказать, если юзеры - склерозники, это их проблемы. Вечные сессии плохи тем, что, будучи единожды спёртыми злоумышленниками, они дают вечный доступ к аккаунту жертвы.
Ответ написан
Комментировать
Интересный вопрос по безопасности и удобству использования сайта, системы, веб приложения.

Нравится ли пользователю, когда его выкидывает или требует заново вводить логин и пароль? Нет.
Более того это не нормально. Лично мне не понравится, что я каждый день буду должен вводить пароль, например на том же ютубе. Не надо так - пользователи, скорее всего, уйдут с сайта.

А если это личный кабинет банка? Я вошел и...забыл выйти. А войти в веб интерфейс я могу и на терминале банка.
Снял деньги и ушел, забыв выйти. У банкоматов, конечно есть доп мера безопасности - приложить карту для совершения операции, пин...но не суть.
Вот для этого и есть время жизни сессии - принудительно разлогинить пользователя.

Лично я не использую встроенный механизм сессий, а использую куки (срок жизни год).
Чтобы пользователь сам решал, когда он хочет разлогиниться. Чтобы не возмущался, а что опять разлогинило?
У меня не банковская система, и похитить куки Васи, Пети - никому не нужно и не принесет особого вреда.
А если даже и похитят - то он сам виноват.
Виноват ли продавец замка, что у клиента похитили ключи? Нет.
А похищают что угодно, номера карт, пин...тут уже человеческий фактор.

Если я делаю систему, где есть финансы, пополнение счета, то тогда уже можно использовать сессии, устанавливать срок их жизни.

И вообще есть телефон. Вход по смс. Если пользователи доверяют вам и не боятся засветить свой номер.
Ответ написан
Завсит от того, как именно эта сессия реализована.
Ответ написан
Комментировать
Sanes
@Sanes
Привяжите сессию к fingerprint устройства.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы