it-swarm-es.com

Buenas prácticas de sesión

¿Cuáles son algunas buenas prácticas para garantizar que los inicios de sesión, las ID de sesión y el contenido de la sesión sean seguros para un sitio web?

22
James T
  • Use una base de datos para las sesiones.
  • Vuelva a generar la sesión cuando cambian los permisos (por ejemplo, cuando un usuario inicia sesión).
  • Regenere la sesión en cada carga de página (opcional).
  • No exponga la ID de sesión en la URL.
  • No exponga ningún dato confidencial a la sesión.
21
VirtuosiMedia

Además de la lista de VirtuosiMedia:

  • Use TLS (SSL) en todo el sitio. Use el encabezado HSTS.
  • Use una cookie de sesión, en lugar de agregar un token de sesión a cada link-href y form-action.
  • Use los indicadores secure y httpOnly en la cookie.
  • Utilizar el X-Frame-Options encabezado.
  • Mantenga el contenido de la sesión mínimo. Por ejemplo, almacene solo el ID de usuario. Si se necesita el almacenamiento en caché, almacénelo en una capa de almacenamiento en caché general, no en la sesión.
  • Firme criptográficamente la cookie de sesión con una clave secreta conocida solo por el servidor. Incluya una fecha y hora de vencimiento en los datos firmados. Verifique la firma y la caducidad en el servidor en cada solicitud.
9
yfeldblum

Caduca tu sesión después de un período de tiempo razonable ... Elimina la sesión de lo que sea que estés usando como depósito para que no se pueda volver a usar ...

8
Gary

no guarde la contraseña u otra información del usuario excepto la identificación del usuario en la sesión.

6
Mohamed

Implemente DNSSec para proteger su sesión HTTPS de ataques a través de Wifi, o redes públicas que incluyen cableado/conmutado .

Use solo HTTPS para cookies que no necesitan acceso a Javascript

Use el atributo Seguro para todas las demás cookies

No permita JavaScript de terceros en su sitio

Similar a lo anterior, no publique anuncios en su sitio

6