Witam, programuje w czystym PHP bez żadnych frameworków, chce wstawić serwis z możliwością tworzenia kont, ale zanim to zrobie chciałbym go odpowiednio zabezpieczyć.
Posiada coś typu fingerprint, który jest wysyłany do każdego zapytania i musi być zgodny z odciskiem utworzonym w sesji.
Sesja posiada sprawdzanie User_agent przeglądarki oraz adres ip, jeśli których z nich się różni użytkownik zostaje wylogowany.
i tu pojawia się pierwszy problem, niektórzy mają zmienne ip i zostają wylogowani nawet kilka razy w ciągu dnia, natomiast autoryzacja po wyłączeniu sprawdzenia ip tylko polegająca na sprawdzeniu user_agenta użytkownika i ew. wylogowanie go gdy się nie zgadza jest według mnie bardzo niebezpieczna.
Drugi problem jest taki że nawet randomowe strony schronisk pisane na cms w ciasteczkach mają ich po kilka, _gat _auth itd. moja ma tylko PHPSESSID + randomowe znaki i nie wygląda mi to na bezpieczne.
Jak to wszystko znacznie lepiej zabeczpieczyć jeśli chodzi o sesje?