Quelle est la meilleure façon de mettre en œuvre “se souvenir de moi” pour un site web?
Je veux que mon site web pour avoir une case à cocher les utilisateurs peuvent cliquer pour qu'ils n'auront pas à se connecter à chaque fois qu'ils visitent mon site. Je sais que je vais avoir besoin de stocker un cookie dans son ordinateur pour mettre en œuvre, mais ce qui doit être contenue dans le cookie?
Aussi, il y a des erreurs communes à surveiller pour garder ce cookie à partir de la présentation d'une faille de sécurité, qui pourrait être évité, tout en donnant le "se souvenir de moi', fonctionnalité?
- Vérifier stackoverflow.com/questions/549/... (partie II de la top réponse)
- si vous utilisez ASP.NET, découvrez codeproject.com/Articles/779844/Remember-Me
- Il est très utile d'informations sur la Sécurité SE ~ security.stackexchange.com/questions/19676/...
Vous devez vous connecter pour publier un commentaire.
Amélioration Persistante Cookie De Connexion Des Meilleures Pratiques
Vous pouvez utiliser cette stratégie décrite ici comme la meilleure pratique (2006) ou une mise à jour de la stratégie décrite ici (2015):
Cette approche fournit une défense en profondeur. Si quelqu'un parvient à fuir la table de base de données, il ne donne pas un attaquant une porte ouverte pour usurper l'identité des utilisateurs.
Je voudrais stocker un ID utilisateur et un jeton. Lorsque l'utilisateur revient sur le site, la comparaison de ces deux éléments d'information à l'encontre de quelque chose de persistant comme une entrée de base de données.
Comme pour la sécurité, il suffit de ne rien mettre là-dedans, qui va permettre à quelqu'un de modifier le cookie pour gagner des avantages supplémentaires. Par exemple, ne pas stocker leurs groupes d'utilisateurs ou de leur mot de passe. Tout ce qui peut être modifiée qui permettrait de contourner la sécurité ne doivent pas être stockées dans le cookie.
Magasin de leur nom d'utilisateur et un RememberMeToken. Quand ils la connexion avec un souvenir de moi vérifié de générer une nouvelle RememberMeToken (qui invalider toutes les autres machines qui sont marquées sont se souvenir de moi).
Quand ils reviennent de regarder par le souvenir de moi jeton et assurez-vous que le nom d'utilisateur correspond à.
Enquête persistante des séances de moi-même, j'ai trouvé que c'est tout simplement ne vaut pas le risque pour la sécurité. L'utiliser si vous devez absolument, mais vous devez penser à une session seulement faiblement authentifié et forcer une nouvelle connexion pour tout ce qui pourrait être de grande valeur pour un attaquant.
La raison d'être de sûr, c'est que vos cookies contenant votre persistance de session sont donc facilement volés.
4 façons de voler vos cookies (à partir de un commentaire par Jens Roland sur la page
@splattne
en fonction de sa réponse):