@GoldFox2015

Авторизация PHP + сессии — безопасность?

Всех приветствую, хочу не много разобраться по поводу безопасной авторизации на PHP c использованием сессий.
Вообщем суть простая, при авторизации запрашивается email/password, если всё хорошо - создаю сессию с ID пользователя, и далее уже работаю с его ID, делаю запросы в базу данных подставляя его ID и т.д. Вопрос - нужно, ли юзать ещё куки + с точки зрения безопасности, можно-ли подменить сессию и вообще, хватит ли только сессии для авторизации, или нужно, что-то ещё?
  • Вопрос задан
  • 324 просмотра
Решения вопроса 1
myks92
@myks92 Куратор тега PHP
Нашёл решение — пометь вопрос ответом!
Тема неоднократно поднималась - можете посмотреть. Но есть пару видео про это. Полезные, но не знаю захочется ли вам смотреть. Однако оставлю ссылки. Думаю, будет полезно.

Состояние: Cookies и сессии
Способы аутентификации
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
MichaelAniskin
@MichaelAniskin
Немного в себе
Если данные сессии передаются по защищенному протоколу то пepeхватить сессию или куку будет сложно(не знаю насчет невозможно), подобрать идентификатор сессии как вариант, но там очень много вариантов не уверен что совпадет момент при активной сессии.
Время жизни сессии по умолчанию составляет 1440 секунд. Пользователь будет удивлен обнаружив через час пустую корзину(поэтому я дублирую кукой и при просрочке сессии обновляю куку).
Предела безопасности нет, можно заставить сервер с клиентов обмениваться сертификатами безопасности, подтверждать IP постоянно, вопрос что за данные вы передаете и какой интерес от взлома. Для интернет магазинов хватает сессии, для юридически значимых сделок(торги, закупки, налоги) нужен более защищенный обмен информацией с подтверждением пользователя.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы