Dış bağlantı: » Oturum Tespiti
Oturum modülü bir oturumda sakladığınız verinin sadece oturumu oluşturduğunuz kullanıcı tarafından görüldüğünü garanti edemez. Oturumun bütünlüğünü etkin olarak korumak için oturumun önemine bağlı olarak ek tedbirler almanız gerekir.
Oturumlarınız tarafından taşınan verinin önemine ve konuşlandırdığınız ek
korumalara bağlı olarak ki, bunun bir fiyatı vardır, kullanıcının rahatı
azalır. Örneğin, kullanıcılarınızı basit sosyal mühendislik taktiklerinden
korumak isterseniz
session.use_only_cookies yönergesini etkin
kılmanız gerekir. Bu durumda, çerezler kullanıcı tarafında koşulsuz olarak
etkin kılınmalıdır yoksa oturum çalışmayacaktır.
Bir mevcut oturum kimliğinin üçüncü şahıslara ifşa edilmesinin çeşitli yolları vardır. İfşa edilmiş bir oturum kimliği, üçüncü tarafın o kimlik ile ilişkilendirilmiş tüm özkaynaklara erişmesini mümkün kılar. İlk olarak oturum kimliğini taşıyan URL'ler ifşa olur. Harici bir siteye bir bağ verirseniz oturum kimliğini içeren URL harici sitenin günlük kayıtlarına geçebilir. İkinci olarak, daha etkin bir saldırgan ağ trafiğini dinleyebilir. Eğer şifreleme yapılmıyorsa oturum kimlikleri ağ üzerinden salt metin olarak akacaktır. Bu noktada çözüm, sunucunuzun SSL bağlantılar kurmasını sağlamak ve bunu kullanıcılarınız için zorunlu kılmaktır.