Como parte del evento Heartbleed, actualicé OpenSSL, volví a emitir y reemplazé los certificados y revocé los antiguos y cambié las contraseñas. Sin embargo, también veo consejos para invalidar todas las cookies de sesión ( enlace ) pero no puedo descubrir cómo hacerlo.
¿Esto solo se aplica a las sesiones de PHP, por ejemplo, o es más que esto? ¿Qué debo hacer para garantizar que todas las claves de sesión y las cookies se invaliden?
Gracias
La forma más sencilla de invalidar todas las sesiones de memoria es simplemente reiniciar su (s) servidor (es) de aplicaciones, lo que borrará la memoria caché de la sesión de memoria y hará que las cookies de sesión de todos sean inválidas.
Además, si está utilizando un marco de inicio de sesión que admita inicios de sesión persistentes (sí lo está si tiene una casilla de verificación de "recordarme" en su formulario de inicio de sesión), entonces puede y debe eliminar todos los inicios de sesión persistentes de su base de datos.
Una nota es que si ha compartido el estado de la sesión entre sus servidores de aplicaciones en una memoria caché centralizada (una configuración no infrecuente en una configuración de carga equilibrada donde no se admiten sesiones persistentes), entonces esa memoria caché deberá vaciarse.
Lea otras preguntas en las etiquetas cookies session-management heartbleed