- Eladhatatlannak ítélt CPU-k eladásával javult az Intel node-ok kihozatala
- Az AI átformálja a Peugeot modelljeit is
- Ráműthető a Linux PlayStation 5-re, de csak egy boot erejéig
- Mindenféle környezeti behatásnak ellenállnak az ASUS új TUF tápjai
- A kínai felsővezetés blokkolhatta Mark Zuckerberg óriási AI üzletét
- Melyik tápegységet vegyem?
- Billentyűzet gondom van
- NVIDIA GeForce RTX 3080 / 3090 / Ti (GA102)
- Azonnali VGA-s kérdések órája
- Eladhatatlannak ítélt CPU-k eladásával javult az Intel node-ok kihozatala
- 4K vs 8K – Megéri-e a 8K TV 2026-ban?
- Pixel plus ultra: teszten a 6K-s LG UltraFine monitor
- Milyen egeret válasszak?
- Papírnehezékként használható csúcs-GeForce-ot árul egy francia viszonteladó
- OLED TV topic
Új hozzászólás Aktív témák
-
#6315
Tele von Zsinór
őstag
LW
#6311
Tele von Zsinór
őstag
Ahogy előttem is írták: a munkamenet hosszát az alkalmazás határozza meg - komolyabb biztonságnál egyértelműen rövidebbre érdemes venni, a php alapbeállítása (1440 másodperc - 24 perc) egy elég jó arany középút. Ritkán tartom szükségesnek állítani.
Az "emlékezz rám" megoldások nem a session idő megnövelésével működnek, hanem plusz egy sütivel, ami mondjuk él egy hétig, és egyértelműen köthető egy felhasználóhoz. Az egyszerű megoldás az, ha ennek meglétét a bejelentkező oldal vizsgálja, ha létezik és érvényes, akkor rögtön továbbít is anélkül, hogy látnád a login formot.
Előfordulhat olyan helyzet, hogy egyetlen oldalon (vagy egy páron - az alkalmazásod méretéhez képest kevés helyen) kell hosszabb munkamenet, erre egy kerülőút: egy, csak azokon az oldalakon behúzott javascript, ami párpercenként egy ajax kéréssel a háttérben életben tartja a sessiont, mondjuk ötpercenként egy kéréssel legfeljebb 12 alkalommal, az plusz egy óra. Például az említett cikkírós oldalra jól jöhet, cserébe innentől JS-függő az alkalmazásod. Mai világban nem tragédia, cserébe ne feledd figyelmeztetni az ilyenre a felhasználót egy jól elhelyezett noscript taggal.
Adatbázisban tárolás, erről megoszlanak a vélemények, kap hideget is, meleget is. Akkor tagadhatatlanul hasznos, ha több gépen elosztva van az alkalmazás egy load balancer mögött, ilyenkor kénytelen vagy valami központi megoldást használni, amúgy bőven jó a php.ini-ben beállított, általában fileban történő mentés.
IP, useragent ellenőrzés. Ismét azt mondom, hogy a szükséges biztonsági szint a fő meghatározó, de: a useragent ritkán változik, az ipvel viszont vigyázz: az országban is több szolgáltató van, aminél több user van egy ip mögött, esetleg bonyolítva azzal, hogy egy user ipje is változik kérésről kérésre attól függően, melyik proxy épp van legkevésbé terhelve.
Saját hash generálás felesleges, de amikor változik az authentikációs szint (be- és kijelentkezés, plusz jog kiadása vagy annak elvétele) érdemes egy session_regenerate_id() hívást intézni, ez elég jó védelem a session fixation támadások ellen.
Új hozzászólás Aktív témák
- Itt a Galaxy S26 széria: az Ultra fejlődött, a másik kettő alig
- Melyik tápegységet vegyem?
- Kerékpárosok, bringások ide!
- Huawei Watch GT 6 és GT 6 Pro duplateszt
- Gyúrósok ide!
- Vivo X300 Ultra - tárcsázz, ha van rá keret!
- Luck Dragon: Asszociációs játék. :)
- sziku69: Szólánc.
- Mától Huawei okosórákkal is lehet érintésmentesen fizetni
- Fotók, videók mobillal
- További aktív témák...
- Lenovo Legion 9 16" 3.2K Mini LED Laptop! i9-13980HX / RTX 4090 / 32GB DDR5 / 2TB NVMe! BeszámítOK
- HP Omen 17 QHD 240Hz / RTX 4090 / i7-13700HX / 32GB DDR5 / 1TB SSD! BeszámíTOK
- BESZÁMÍTÁS! Dell Precision 5520 FHD notebook - i7 7820HQ 16GB DDR4 256GB SSD M1200 4GB WIN11
- -50% Dobozos Új Lenovo ThinkPad X1 gen 10 2-in-1 Ultra 7 268V 32gb ram Inter Arc 140V Gari 2030
- ASUS TUF RTX 5090 OC 32GB GDDR7 TUF-RTX5090-32G-GAMING Videokártya! BeszámítOK
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest