Php de bir kullanıcı login ve yönetim ekranı yapmak istiyorum. Oturum güvenliğini nasıl sağlamalıyım?
PHP tabanlı bir web sitesinde login ve oturum güvenliğini sağlamak en önemli konudur. Bu hem sizin hem de kullanıcıların memnuniyetini ve kullanılabilirlik oranı artıracaktır. Kullanıcıların bir siteye girerken o siteye güvenmesi gerekir. Bunu sağlamak da sizin sorumluluğunuzdadır. Üstelik bu zorunlu bir gereklilikdir. E-ticaret sitesi yapıyorsanız güvenlik en önemli önceliğiniz olmalıdır.
Oturum modülü bir oturumda sakladığınız verinin sadece oturumu oluşturduğunuz kullanıcı tarafından görüldüğünü garanti edemez. Oturumun bütünlüğünü etkin olarak korumak için oturumun önemine bağlı olarak ek tedbirler almanız gerekir.
Oturumlarınız tarafından taşınan verinin önemine ve konuşlandırdığınız ek korumalara bağlı olarak ki, bunun bir fiyatı vardır, kullanıcının rahatı azalır. Örneğin, kullanıcılarınızı basit sosyal mühendislik taktiklerinden korumak isterseniz session.use_only_cookies
yönergesini etkin kılmanız gerekir. Bu durumda, çerezler kullanıcı tarafında koşulsuz olarak etkin kılınmalıdır yoksa oturum çalışmayacaktır.
Bir mevcut oturum kimliğinin üçüncü şahıslara ifşa edilmesinin çeşitli yolları vardır. İfşa edilmiş bir oturum kimliği, üçüncü tarafın o kimlik ile ilişkilendirilmiş tüm özkaynaklara erişmesini mümkün kılar. İlk olarak oturum kimliğini taşıyan URL’ler ifşa olur. Harici bir siteye bir bağ verirseniz oturum kimliğini içeren URL harici sitenin günlük kayıtlarına geçebilir. İkinci olarak, daha etkin bir saldırgan ağ trafiğini dinleyebilir. Eğer şifreleme yapılmıyorsa oturum kimlikleri ağ üzerinden salt metin olarak akacaktır. Bu noktada çözüm, sunucunuzun SSL bağlantılar kurmasını sağlamak ve bunu kullanıcılarınız için zorunlu kılmaktır.
Aşağıdaki sitelerde yer alan bilgileri kullanabilirsiniz:
https://www.bilgiguvenligi.gov.tr/web-guvenligi/php-icin-basit-guvenlik-onlemleri.html
https://www.cyber-warrior.org/Dokuman/Default.Asp?Data_id=1666
http://mfyz.com/phpde-oturum-session-yonetimihttp://farukcan.net/genel/2015/08/php-oturum-guvenligi/