HTTPS kullanın, ama kötü kimse başkası aslında son zamanlarda kullandığı bir oturum kimliği ile kendi çerezlerini işçiliği riskini en aza indirmek istiyoruz.

Bir oturum değişkeni olarak ben son kullanılan olmamıştır eğer öyleyse oturumu geçersiz bir zaman aşımı süresi var, bu yüzden kurban aktif veya yakın zamanda düzgün çıkıyor olmadan siteyi sol fırsat penceresidir rakam.

Ben trafik büyük miktarlarda sanmıyoruz ve ben oturum kimlikleri üreten standart php yöntemleri kullanın. Ben birinin "riski" gerçekten başarılı (hatta denemek) burada birileri oturumu kaçırma sıfıra yakın olduğuna inanıyorum.

Ne yapmak istersiniz without ile $_SERVER['REMOTE_ADDR'], nedense uzak kullanıcı "tanımlamak" için. Düşüncelerim saldırganın, as well as gerçek kullanıcının farklı özelliklerini taklit bir oturum ID'si bulmak hem olurdu olmak.

Ben bile anneannem ve onun gibi olmayan diğer teknoloji insanlar için, tüm standart web tarayıcılarda çalışmak istiyorum oturum için bir sertifika kullanmasını zorlamak istemiyorum.

Peki, ben aslında sormak istedim oldu: kullanılan olabilir HTTPS oturumun herhangi bir "özellikleri" vardır? Onlar yararlı olurdu? Eğer öyleyse, nasıl buluyorsunuz? phpinfo() hiçbir şey belirli HTTPS ortaya koymaktadır. (httpd maruz etmez, çünkü mi?)

Ben sadece HTTP_USER_AGENT + HTTP_ACCEPT + HTTP_ACCEPT_LANGUAGE + HTTP_ACCEPT_ENCODING + HTTP_ACCEPT_CHARSET ya da benzer bir şey bir birleştirme kullanmalısınız unique enough kullanıcılar arasında olduğu varsayılır?

Very happy for all answers! (But please read the question before answering with only referrals to other questions on StackOverflow) Thank you!