Angemeldet bleiben Best Practices: Wie kann ein Benutzername im Cookie die Sicherheit erhöhen?
Dies ist ein Zweig einer anderen Frage:Was ist der beste Weg, um "Remember Me" für eine Website zu implementieren?
Die beste Antwort ist, dies umzusetzen:http://jaspan.com/improved_persistent_login_cookie_best_practice
Eine Zusammenfassung:
Verwenden Sie eine Zufallszahl als Serien-Token und eine andere als Login-Token. Fügen Sie diese zusammen mit dem Benutzernamen in das Cookie "Angemeldet bleiben" ein. Weisen Sie ein zweites, normales Sitzungs-Cookie zu. Jedes Mal, wenn ein Benutzer ohne Sitzungscookie eintrifft, muss das Cookie "Angemeldet bleiben" verwendet werden. Stellen Sie ein neues aus, diesmal mit einem neuen zufälligen Login-Token, wobei das Serien-Token gleich bleibt.
Warum sollte der Benutzername angegeben werden? Wie hilft das? Das Serien-Token sollte ausreichen, um den Benutzer und die Serie zu identifizieren. Das Series Token wurde in diesem Ansatz hinzugefügt, um einen DoS-Angriff zu verhindern, bei dem ein Angreifer nur alle Benutzernamen errät und die Site auf einmal aufruft und alle abmeldet. Aber warum ist es sinnvoll, den Benutzernamen überhaupt zu belassen?