Új hozzászólás Aktív témák
-
#6315
Tele von Zsinór
őstag
LW
#6311
Tele von Zsinór
őstag
Ahogy előttem is írták: a munkamenet hosszát az alkalmazás határozza meg - komolyabb biztonságnál egyértelműen rövidebbre érdemes venni, a php alapbeállítása (1440 másodperc - 24 perc) egy elég jó arany középút. Ritkán tartom szükségesnek állítani.
Az "emlékezz rám" megoldások nem a session idő megnövelésével működnek, hanem plusz egy sütivel, ami mondjuk él egy hétig, és egyértelműen köthető egy felhasználóhoz. Az egyszerű megoldás az, ha ennek meglétét a bejelentkező oldal vizsgálja, ha létezik és érvényes, akkor rögtön továbbít is anélkül, hogy látnád a login formot.
Előfordulhat olyan helyzet, hogy egyetlen oldalon (vagy egy páron - az alkalmazásod méretéhez képest kevés helyen) kell hosszabb munkamenet, erre egy kerülőút: egy, csak azokon az oldalakon behúzott javascript, ami párpercenként egy ajax kéréssel a háttérben életben tartja a sessiont, mondjuk ötpercenként egy kéréssel legfeljebb 12 alkalommal, az plusz egy óra. Például az említett cikkírós oldalra jól jöhet, cserébe innentől JS-függő az alkalmazásod. Mai világban nem tragédia, cserébe ne feledd figyelmeztetni az ilyenre a felhasználót egy jól elhelyezett noscript taggal.
Adatbázisban tárolás, erről megoszlanak a vélemények, kap hideget is, meleget is. Akkor tagadhatatlanul hasznos, ha több gépen elosztva van az alkalmazás egy load balancer mögött, ilyenkor kénytelen vagy valami központi megoldást használni, amúgy bőven jó a php.ini-ben beállított, általában fileban történő mentés.
IP, useragent ellenőrzés. Ismét azt mondom, hogy a szükséges biztonsági szint a fő meghatározó, de: a useragent ritkán változik, az ipvel viszont vigyázz: az országban is több szolgáltató van, aminél több user van egy ip mögött, esetleg bonyolítva azzal, hogy egy user ipje is változik kérésről kérésre attól függően, melyik proxy épp van legkevésbé terhelve.
Saját hash generálás felesleges, de amikor változik az authentikációs szint (be- és kijelentkezés, plusz jog kiadása vagy annak elvétele) érdemes egy session_regenerate_id() hívást intézni, ez elég jó védelem a session fixation támadások ellen.
Új hozzászólás Aktív témák
- Egyre inkább szoftverrel segítene a Core CPU-k teljesítményén az Intel
- Samsung kuponkunyeráló
- Külföldi prepaid SIM-ek itthon
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- MWC 2026: Bajnoki címre pályázik a Xiaomi Watch 5
- Okosóra és okoskiegészítő topik
- OLED TV topic
- Call of Duty: Warzone
- iPad topik
- Samsung Galaxy S25 FE - fenséges, felejthető vagy felesleges?
- További aktív témák...
- Samsung 75 QE75QN90A Neo QLED 4K UHD Smart TV Mini LED + Quantum Dot eladó
- ASUS ROG Zephyrus G16 (2024) RTX 4090 (!!) / Ultra 9 / GAR 2027 brutál erős, csúcs modell
- Cooler Master CK550 RGB mechanikus billentyűzet (Gateron Brown, HU)
- Elgato Stream Deck 15 gombos (MK.1) + állvány
- Gamer PC Ryzen 7 5800X + RTX 3060 12GB / 32GB RAM / vízhűtés / RGB
- Apple iPhone 14 Plus 128GB sárga használt, karcmentes 97% akku 6 hónap garancia
- Bomba ár! HP ZBook 15u G3 - i7-6G I 8GB I 256SSD I Radeon R7 I Cam I W11 I Garancia!
- LEXAR 32GB DDR4 3200 MHz laptop RAM
- BESZÁMÍTÁS! Asus Prime X570 R7 5700 64GB DDR4 1TB SSD RTX 5060 Ti 16GB Zalman S2 TG FSP 650W
- (TÖBB DARAB, KÉSZLETEN) SAMSUNG/ KINGSTON DDR4 8GB RAM - Memoria modul
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest