Який найкращий спосіб застосувати "запам'ятати мене" для веб-сайту? [зачинено]

Я хочу, щоб на моєму веб-сайті було встановлено прапорець, який користувачі можуть натискати, щоб не потрібно було входити в систему під час кожного відвідування мого веб-сайту. Я знаю, що мені потрібно буде зберегти печиво на своєму комп’ютері, щоб це здійснити, але що має міститись у цьому файлі cookie?

Крім того, чи є загальні помилки, на які слід стежити, щоб цей файл cookie не представляв уразливості безпеки, чого можна уникнути, надаючи функціонал "запам'ятати мене"?

Покращений досвід роботи зі збереженим файлом cookie

Ви можете використовувати цю описану тут стратегію як найкращу практику (2006) або оновлену стратегію, описану тут (2015):

1. Коли користувач успішно входить у систему з позначкою "Запам'ятати мене", на додаток до стандартного файлу cookie управління сеансом видається печиво для входу .
2. Файл cookie для входу містить ідентифікатор серії та маркер . Серія та маркер - це непридатні випадкові числа з відповідно великого простору. Обидва зберігаються разом у таблиці бази даних, маркер хешований (sha256 - це добре).
3. Коли користувач, що не входить в систему, відвідує сайт і представляє файли cookie для входу, ідентифікатор серії шукається в базі даних .
   1. Якщо ідентифікатор серії присутній і хеш маркера відповідає хешу для цього ідентифікатора серії, користувач вважається автентифікованим . Створюється новий маркер , новий хеш для маркера зберігається над старою записом, а користувачеві видається новий файл cookie (нормально повторно використовувати ідентифікатор серії ).
   2. Якщо серія присутня, але маркер не збігається, передбачається крадіжка . Користувач отримує чітко сформульоване попередження і всі запам’ятовані користувачем сесії видаляються.
   3. Якщо ім'я користувача та серія відсутні, файли cookie для входу ігноруються .

Такий підхід забезпечує глибоку оборону. Якщо комусь вдається витікнути таблицю бази даних, це не дає зловмиснику відкритих дверей для видавання себе за користувачів.

Я б зберігав ідентифікатор користувача та маркер. Коли користувач повертається на сайт, порівняйте ці два відомості з чимось стійким, як-от запис бази даних.

Що стосується безпеки, просто не вкладайте нічого, що дозволить комусь змінити файл cookie, щоб отримати додаткові переваги. Наприклад, не зберігайте їх групи користувачів або їх пароль. Все, що може бути змінено, що б обходило вашу безпеку, не повинно зберігатися у файлі cookie.

Зберігайте їх UserId та RememberMeToken. Коли ви входите в систему, щоб перевірити мене, згенеруйте новий RememberMeToken (який визнає недійсним будь-які інші позначені машини запам'ятають мене).

Коли вони повернуться, перегляньте їх на жетон запам'ятовування і переконайтеся, що UserId відповідає.

Досліджуючи постійні сеанси, я виявив, що це просто не варто ризикувати безпекою. Використовуйте його, якщо вам абсолютно доведеться, але ви повинні вважати такий сеанс лише слабкою аутентифікацією та змусити новий логін для будь-якого, що може нанести користі зловмиснику.

Причина, звичайно, полягає в тому, що файли cookie, що містять ваш постійний сеанс, так легко вкрадаються.

4 способи вкрасти куки (з коментаря Йенса Роланда на сторінці, @splattneспираючись на його відповідь):

1. Перехоплюючи його через незахищену лінію (викрадення пакетів / захоплення сеансу)
2. Прямий доступ до браузера користувача (через зловмисне програмне забезпечення або фізичний доступ до вікна)
3. Читаючи його з серверної бази даних (можливо, SQL Injection, але може бути що завгодно)
4. Шляхом злому XSS (або подібного використання на стороні клієнта)