DRUPAL
documento DRUPAL

How to DRUPAL ... Aumentare la sicurezza: le sessioni

Vediamo cosa si può fare per aumentare i livelli di sicurezza di un sito. In questo articolo vediamo come evitare che una sessione duri troppo a lungo esponendo ad inutili rischi il proprio servizio.

Ecco l'elenco delle azioni da intraprendere per fare in modo che la sessione di un utente NON duri troppo a lungo.

Che succede se un utente si logga e poi senza sloggarsi se ne va chiudendo semplicemente il browser?

L'utente rimane loggato nel sito e chiunque abbia accesso al PC potrà accedere al sito con l'account già loggato.

Vediamo quindi qualche semplice configurazione per rendere il sito più sicuro.

 

Modifiche per il PHP.INI

Queste sono le linee che vanno messe:

session.gc_probability = 1
session.gc_divisor = 100
session.gc_maxlifetime = 600

Queste tre servono per far ripulire le sessioni scadute da parte del garbage collector.

Queste invece si riferiscono alla sessione degli utenti:

session.cookie_lifetime = 0
session.use_cookies = 1

Ovvero stiamo dicendo che la sessione viene gestita con i cookie, viene gestita dal PHP e alla chiusura del browser i cookie vengono cancellati.

 

Modifiche al file SETTINGS.PHP

Queste sono invece le analoghe (rispetto quelle fatte nel php.ini) modifiche da fare nel file settings di drupal.

ini_set('session.cookie_lifetime', 0);
ini_set('session.gc_maxlifetime', 600);
ini_set('session.gc_probability', 1);
ini_set('session.gc_divisor', 100);
ini_set('session.use_cookies', 1);
ini_set('session.use_only_cookies', 1);

 

Modulo AUTOLOGOUT

Alla fine si installa e si configura questo modulo:

https://drupal.org/project/autologout

che slogga automaticamente gli utenti dopo un periodo di inattività prefissato.


Buon lavoro!

Il nostro sito utilizza i cookie

Usando il sito accetti implicitamente il loro uso. Per saperne di piu'

Approvo