How to DRUPAL ... Aumentare la sicurezza: le sessioni Vediamo cosa si può fare per aumentare i livelli di sicurezza di un sito. In questo articolo vediamo come evitare che una sessione duri troppo a lungo esponendo ad inutili rischi il proprio servizio. |
Ecco l'elenco delle azioni da intraprendere per fare in modo che la sessione di un utente NON duri troppo a lungo.
Che succede se un utente si logga e poi senza sloggarsi se ne va chiudendo semplicemente il browser?
L'utente rimane loggato nel sito e chiunque abbia accesso al PC potrà accedere al sito con l'account già loggato.
Vediamo quindi qualche semplice configurazione per rendere il sito più sicuro.
Modifiche per il PHP.INI
Queste sono le linee che vanno messe:
session.gc_probability = 1
session.gc_divisor = 100
session.gc_maxlifetime = 600
Queste tre servono per far ripulire le sessioni scadute da parte del garbage collector.
Queste invece si riferiscono alla sessione degli utenti:
session.cookie_lifetime = 0
session.use_cookies = 1
Ovvero stiamo dicendo che la sessione viene gestita con i cookie, viene gestita dal PHP e alla chiusura del browser i cookie vengono cancellati.
Modifiche al file SETTINGS.PHP
Queste sono invece le analoghe (rispetto quelle fatte nel php.ini) modifiche da fare nel file settings di drupal.
ini_set('session.cookie_lifetime', 0);
ini_set('session.gc_maxlifetime', 600);
ini_set('session.gc_probability', 1);
ini_set('session.gc_divisor', 100);
ini_set('session.use_cookies', 1);
ini_set('session.use_only_cookies', 1);
Modulo AUTOLOGOUT
Alla fine si installa e si configura questo modulo:
https://drupal.org/project/autologout
che slogga automaticamente gli utenti dopo un periodo di inattività prefissato.
Buon lavoro!