Buenas prácticas de sesión

• Usa una base de datos para las sesiones.
• Regenera la sesión cuando el los permisos cambian (por ejemplo, cuando un usuario inicia sesión).
• Regenera la sesión en cada página carga (opcional).
• No exponga el ID de sesión en el URL.
• No exponga ningún dato confidencial a la sesión.

Además de la lista de VirtuosiMedia:

• Use TLS (SSL) en todo el sitio. Utilice el encabezado HSTS.
• Use una cookie de sesión, en lugar de agregar un token de sesión a cada enlace-href y formulario-acción.
• Use los indicadores secure y httpOnly en la cookie.
• Use el encabezado X-Frame-Options .
• Mantener el contenido de la sesión mínimo. Por ejemplo, almacenar solo el ID de usuario. Si es necesario el almacenamiento en caché, caché en una capa de almacenamiento en caché general, no la sesión.
• Firme de forma criptográfica la cookie de sesión con una clave secreta conocida solo por el servidor. Incluir una fecha y hora de caducidad en los datos firmados. Verifique la firma y el vencimiento en el servidor en cada solicitud.

Vence su sesión después de un período de tiempo razonable ... Elimine la sesión de lo que esté usando como repositorio para que no pueda reutilizarse ...

no guarde la contraseña u otra información del usuario excepto la identificación del usuario en la sesión.

Implemente DNSSec para proteger su sesión de HTTPS de ataques a través de Wifi, o redes públicas, incluyendo hardwired / Switch .

Utilice Sólo HTTPS para las cookies que no necesitan acceso a Javascript

Utilice el atributo Seguro para todas las demás cookies

No permita javascript de terceros en su sitio

Similar a lo anterior, no publicamos anuncios en su sitio