Buenas prácticas de sesión

22

¿Cuáles son algunas buenas prácticas para garantizar que los inicios de sesión, los ID de sesión y el contenido de la sesión sean seguros para un sitio web?

    
pregunta James T 11.11.2010 - 23:28
fuente

5 respuestas

21
  • Usa una base de datos para las sesiones.
  • Regenera la sesión cuando el los permisos cambian (por ejemplo, cuando un usuario inicia sesión).
  • Regenera la sesión en cada página carga (opcional).
  • No exponga el ID de sesión en el URL.
  • No exponga ningún dato confidencial a la sesión.
respondido por el VirtuosiMedia 11.11.2010 - 23:37
fuente
9

Además de la lista de VirtuosiMedia:

  • Use TLS (SSL) en todo el sitio. Utilice el encabezado HSTS.
  • Use una cookie de sesión, en lugar de agregar un token de sesión a cada enlace-href y formulario-acción.
  • Use los indicadores secure y httpOnly en la cookie.
  • Use el encabezado X-Frame-Options .
  • Mantener el contenido de la sesión mínimo. Por ejemplo, almacenar solo el ID de usuario. Si es necesario el almacenamiento en caché, caché en una capa de almacenamiento en caché general, no la sesión.
  • Firme de forma criptográfica la cookie de sesión con una clave secreta conocida solo por el servidor. Incluir una fecha y hora de caducidad en los datos firmados. Verifique la firma y el vencimiento en el servidor en cada solicitud.
respondido por el yfeldblum 10.10.2011 - 13:36
fuente
8

Vence su sesión después de un período de tiempo razonable ... Elimine la sesión de lo que esté usando como repositorio para que no pueda reutilizarse ...

    
respondido por el Gary 11.11.2010 - 23:45
fuente
6

no guarde la contraseña u otra información del usuario excepto la identificación del usuario en la sesión.

    
respondido por el Mohamed 12.11.2010 - 01:24
fuente
6

Implemente DNSSec para proteger su sesión de HTTPS de ataques a través de Wifi, o redes públicas, incluyendo hardwired / Switch .

Utilice Sólo HTTPS para las cookies que no necesitan acceso a Javascript

Utilice el atributo Seguro para todas las demás cookies

No permita javascript de terceros en su sitio

Similar a lo anterior, no publicamos anuncios en su sitio

    
respondido por el random65537 04.10.2011 - 19:07
fuente

Lea otras preguntas en las etiquetas