Bir şeyler ne akış şemaları açıklayan ne büyük kulüpler becuase, vaktinden özür dileriz. Bu, belirli bir kod sorunu, ancak oturum güvenliği üzerinde genel bir soru değildir.

Aynı anda mümkün olduğu kadar çok potansiyel sorunları gidermek için çalışıyorum. Ben bu önemser düşünüyorum:

• CSRF
• Oturum sabitleme
• Oturum tahmini
• (Tarayıcı açıkları yoluyla) çerez hırsızlığı
• Oturum sidejacking

Ben saldırganın IP ve kullanıcı aracısı başlığını hem de doğrulanmış kullanıcının olarak aynı ise oturum hala sidejacked olabilir gerçekleştirmek. Ben SSL gerekir ki kurşun geçirmez yapmak için sanırım?

Eğer aşağıda clusterfuck ile söylemeye çalışıyorum ne yapabilirsiniz eğer ben, herhangi bir eleştiri seviniriz. Bu, daha fazla veya daha az ben ne yapıyorum:

EDIT - Ben başka bir soru: Bir kullanıcı, bu bir sorun haline için yeterli sıklıkta değişen bir IP adresine sahip olmayacağını varsaymak güvenli mi?