Overovanie podľa sessions

Session údaje sú uložené na serveri. Užívateľ má u seba uložené len session ID, ktoré sa posiela na server a na základe tohoto ID server dokáže vybrať konkrétne session dáta. Vlastné veci si teda užívateľ do session len tak ľahko nevloží, dá sa však ukradnúť toto ID, vďaka čomu ma potom server bude identifikovať ako niekoho iného. Relatívne jednoducho sa dá takýto útok spraviť v rámci lokálnej siete. Mimo nej, neviem.

_fantomas:
„No a ked po každom prihlásení generujem nové session ID pomocou session_regenerate_id ?“
To je naprosto správně.

Dalším bezpečnostním prvkem by mělo být používání https. Nevím, jak bych chtěl xROAL v lokální síti provést útok, ale když budou tvoje sránky komunikovat na https tak si neškrtne. Samozřejmě za předpokladu, že to budeš mít správně nastavené.

Taky je dobré nastavit pro session cookie příznak http-only. V případě že i kdybys měl na webu xss zranitelnost, tak útočník se javascriptem k session nedostane.

Dále použít nastavení serveru takové, aby nebyl možný session fixation útok, nebo to ve scriptu ošetřovat, ale to by byl opruz.

Taky se hodí zabezpečit celou administraci proti CSRF útokům. Třeba změna hesla by určitě nepotěšila.

Rozhodně se hodí nastavit hlavičku X-Frame-Options

... a je toho další velká spousta