Tweet
Hallo,
bei einem geplanten Projekt sollen User sich einloggen können und dann über mehrere Seiten wiedererkannt werden. Im jetzigen Stadium werden Passwort und einige andere Daten in einem Session-Cookie gespeichert und dann bei Bedarf abgerufen. Allerdings habe ich festgestellt, dass auf meinem System die Cookies weiterhin vorhanden sind, wenn ich die Sitzung nicht beende (session_destroy). Wahrscheinlich läßt sich das in der php.ini ändern, aber ich habe nun doch die Frage, wie es generell mit der Sicherheit bei Sessions aussieht. Wo werden die Session-Cookies standardmäßig gespeichert? Wie groß ist die Gefahr, dass sie dabei für andere sichtbar sind? Ist es zu unsicher, das Passwort in einer Session zu speichern ? Oder lässt es sich möglicherweise verschlüsselt speichern?
Viele Fragen - vielleicht kann jemand von euch mir ein paar generelle Tipps geben. MERCI.
bei einem geplanten Projekt sollen User sich einloggen können und dann über mehrere Seiten wiedererkannt werden. Im jetzigen Stadium werden Passwort und einige andere Daten in einem Session-Cookie gespeichert und dann bei Bedarf abgerufen. Allerdings habe ich festgestellt, dass auf meinem System die Cookies weiterhin vorhanden sind, wenn ich die Sitzung nicht beende (session_destroy). Wahrscheinlich läßt sich das in der php.ini ändern, aber ich habe nun doch die Frage, wie es generell mit der Sicherheit bei Sessions aussieht. Wo werden die Session-Cookies standardmäßig gespeichert? Wie groß ist die Gefahr, dass sie dabei für andere sichtbar sind? Ist es zu unsicher, das Passwort in einer Session zu speichern ? Oder lässt es sich möglicherweise verschlüsselt speichern?
Viele Fragen - vielleicht kann jemand von euch mir ein paar generelle Tipps geben. MERCI.
Kommentar