Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным.

В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает:

смену идентификатора сессии раз в несколько минут (в зависимости от настройки);
хранение данных сессий в таблице модуля.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других виртуальных серверов, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Рекомендуется включить для высокого уровня.

"; $MESS ['SEC_SESSION_ADMIN_DB_NOTE_V2'] = "

Хранение данных сессий в БД, Redis или Memcache в сравнении с хранением в файлах позволяет избежать чтения этих данных через скрипты других виртуальных серверов, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных или Redis, Memcache.

Для изменения настроек хранения необходимо изменить файл .settings.php в соответствии с документацией.

Также в дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, можно установить смену идентификатора сессии раз в несколько минут (в зависимости от настройки).

Рекомендуется включить для высокого уровня.

"; $MESS ['SEC_SESSION_ADMIN_SESSID_TAB'] = "Смена идентификатора"; $MESS ['SEC_SESSION_ADMIN_SESSID_TAB_TITLE'] = "Настройка параметров смены идентификатора сессий"; $MESS ['SEC_SESSION_ADMIN_SESSID_ON'] = "Смена идентификатора сессий включена."; $MESS ['SEC_SESSION_ADMIN_SESSID_OFF'] = "Смена идентификатора сессий выключена."; $MESS ['SEC_SESSION_ADMIN_SESSID_BUTTON_OFF'] = "Отключить смену идентификатора"; $MESS ['SEC_SESSION_ADMIN_SESSID_BUTTON_ON'] = "Включить смену идентификатора"; $MESS ['SEC_SESSION_ADMIN_SESSID_TTL'] = "Время жизни идентификатора, в секундах"; $MESS ['SEC_SESSION_ADMIN_SESSID_NOTE'] = "

При включении смены идентификатор сессии пользователя начнет изменяться через заданный промежуток времени. Это создает дополнительную нагрузку на сервер, но позволяет сделать похищение авторизованной сессии неэффективным.

Рекомендуется включить для высокого уровня.

"; $MESS ['SEC_SESSION_ADMIN_DB_WARNING'] = "Внимание! При переключении режима хранения сессий все пользователи потеряют авторизацию (данные сессий будут уничтожены)."; $MESS ['SEC_SESSION_ADMIN_SESSID_WARNING'] = "Идентификатор сессии не совместим с модулем безопасности. Идентификатор возвращаемый функцией session_id() должен быть не более 32-х символов длиной и содержать только символы латинского алфавита и цифры."; ?>