He estado estudiando la creación de sesiones de php seguras para usarlas en un script de inicio de sesión durante una semana aproximadamente. Hasta ahora no he encontrado un recurso concreto para basar mi trabajo, leyendo StackOverflow todo lo que he visto son opiniones y opiniones mixtas.
Decidí sumergirme y dar a la escritura una función para comenzar la sesión.
Con una lectura extensa y viendo la presentación de Samy Kamkar de DEFCON en Youtube, estoy bastante seguro y satisfecho con la primera parte de este sistema que he escrito.
$session_name = 'sec_session_id'; // Set a custom session name
$secure = false; // Set to true if using https else leave as false
$httponly = true; // This stops javascript being able to access the session id
ini_set('session.use_only_cookies', 1); // Forces sessions to only use cookies.
ini_set('session.entropy_file', '/dev/urandom'); // better session id's
ini_set('session.entropy_length', '512'); // and going overkill with entropy length for maximum security
$cookieParams = session_get_cookie_params(); // Gets current cookies params.
session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly);
session_name($session_name); // Sets the session name to the one set above.
session_start(); // Start the php session
Esto se usará con SSL por motivos de desarrollo, no es ...
Entonces, mi pregunta es dónde puedo mejorar este script. ¿Me he perdido algo? ¿Qué debo ver en el siguiente ...?