Gestione delle sessioni

Gestione delle sessioni è una best practice DoS (Anti-Denial of Service) per la sicurezza API. Una sessione rappresenta il tempo che un visitatore trascorre sul sito e non è correlata al tempo in cui gli utenti amministratore o i clienti hanno effettuato l’accesso ai loro account.

Una sessione è una sequenza di transazioni di richiesta HTTP e risposta di rete associate allo stesso utente. È un modo per associare un client (amministratore) ai propri dati quando accedono al server. Le sessioni vengono utilizzate per stabilire variabili, come i diritti di accesso e le impostazioni di localizzazione, che si applicano a ogni interazione di un utente con un’applicazione web durante la sessione.

Dimensione sessione

Utilizza le seguenti impostazioni di configurazione per limitare la dimensione massima della sessione per gli utenti amministratori e i visitatori della vetrina:

  • Max Session Size in Admin- Limita la dimensione massima delle sessioni in byte. Utilizzare 0 per disattivare.
  • Max Session Size in Storefront- Limita la dimensione massima delle sessioni in byte. Utilizzare 0 per disattivare.
TIP
Entrambe le impostazioni sono misurate in byte e il valore predefinito è 256000 byte (o 256 KB).

Per configurare la dimensione massima della sessione:

  1. Il giorno Amministratore barra laterale, vai a Stores > Settings>Configuration.

  2. Nel pannello a sinistra, espandi Advanced e scegli System.

  3. Espandi Selettore di espansione il Security per accedere alle impostazioni della sessione.

    Impostazioni sessione {width="600" modal="regular"}

  4. Immettere le nuove dimensioni di sessione in byte.

    note warning
    WARNING
    L’impostazione di un valore troppo basso può causare problemi. Se si imposta una delle opzioni sotto il valore predefinito di 256000 byte, verrà visualizzato un messaggio di avviso. Se si fa clic su No, il sistema modifica il valore in 256000.
  5. Clic Save Config.

Sessioni di amministrazione

Se si supera la dimensione massima della sessione, viene visualizzato un messaggio di errore e il sistema registra il vincolo della dimensione della sessione su var/log directory.

Se perdi l’accesso all’amministratore dopo aver impostato le dimensioni della sessione troppo basse, utilizza CLI per reimpostare la configurazione:

bin/magento config:set system/security/max_session_size_admin 256000

Sessioni vetrina

Se si supera la dimensione massima della sessione, non viene visualizzato alcun errore, ma il sistema registra il vincolo della dimensione della sessione su var/log directory.

Convalida della sessione

Adobe Commerce e Magento Open Source consentono di convalidare le variabili di sessione come misura protettiva contro possibili attacchi di fissazione delle sessioni o tentativi di avvelenare o dirottare le sessioni degli utenti. Le impostazioni di convalida della sessione determinano il modo in cui le variabili di sessione vengono convalidate durante ogni visita dello store e se l’ID sessione è incluso nell’URL dello store.

Per informazioni tecniche, consulta Usa Redis per l’archiviazione della sessione nel Guida alla configurazione.

Configurazione generale - Convalida della sessione Web {width="600" modal="regular"}

La convalida verifica che i visitatori siano quello che dicono di essere confrontando il valore nelle variabili di convalida con i dati della sessione memorizzati in $_SESSION dati per l’utente. La convalida non riesce se l’informazione non viene trasmessa come previsto e la variabile corrispondente è vuota. A seconda delle impostazioni di convalida della sessione, se una variabile di sessione non supera il processo di convalida, la sessione client viene terminata immediatamente.

L’abilitazione di tutte le variabili di convalida può contribuire a prevenire gli attacchi, ma potrebbe anche influire sulle prestazioni del server. Per impostazione predefinita, la convalida di tutte le variabili di sessione è disabilitata. È consigliabile sperimentare le impostazioni per trovare la combinazione ottimale per l’installazione di Adobe Commerce o di Magento Open Source. L'attivazione di tutte le variabili di convalida potrebbe rivelarsi eccessivamente restrittiva e potrebbe impedire l'accesso ai clienti con connessioni Internet che passano attraverso un server proxy o provengono da un firewall. Per ulteriori informazioni sulle variabili di sessione e sul loro utilizzo, consulta la documentazione di amministrazione del sistema Linux®.

Per configurare la convalida della sessione:

  1. Il giorno Amministratore barra laterale, vai a Stores > Settings>Configuration.

  2. Nel pannello a sinistra, espandi General ​e scegli Web.

  3. Espandi Selettore di espansione il Session Validation Settings sezione.

  4. Imposta ciascuna delle opzioni di configurazione:

    • Validate REMOTE_ADDR — Imposta su Yes per verificare che l’indirizzo IP di una richiesta corrisponda a quello memorizzato in $_SESSION variabile.

    • Validate HTTP_VIA — Imposta su Yes per verificare che l’indirizzo proxy di una richiesta in ingresso corrisponda a quello memorizzato in $_SESSION variabile.

    • Validate HTTP_X_FORWARDED_FOR — Imposta su Yes per verificare che l'indirizzo inoltrato per una richiesta corrisponda a quello memorizzato in $_SESSION variabile.

    • Validate HTTP_USER_AGENT — Imposta su Yes per verificare che il browser o il dispositivo utilizzato per accedere all’archivio durante una sessione corrisponda a quello memorizzato in $_SESSION variabile.

  5. Al termine, fai clic su Save Config.

Durata della sessione di amministrazione

Come misura di sicurezza, il Amministratore inizialmente è impostato su timeout dopo 900 secondi (15 minuti) di inattività della tastiera. Puoi regolare la durata della sessione in base al tuo stile di lavoro.

Per regolare la durata della sessione di amministrazione:

  1. Il giorno Amministratore barra laterale, vai a Stores > Settings>Configuration.

  2. Scorri verso il basso ed espandi Advanced nel pannello laterale sinistro.

  3. Clic Admin.

  4. Espandi Selettore di espansione il Security ​sezione.

  5. Per Admin Session Lifetime (seconds), immetti il numero di secondi in cui una sessione rimane attiva prima del timeout.

    Configurazione avanzata - Impostazioni di protezione amministratore {width="600" modal="regular"}

  6. Al termine, fai clic su Save Config.## Durata sessione amministratore

Come misura di sicurezza, il Amministratore inizialmente è impostato su timeout dopo 900 secondi (15 minuti) di inattività della tastiera. Puoi regolare la durata della sessione in base al tuo stile di lavoro.

Per regolare la durata della sessione di amministrazione:

  1. Il giorno Amministratore barra laterale, vai a Stores > Settings>Configuration.

  2. Scorri verso il basso ed espandi Advanced nel pannello laterale sinistro.

  3. Clic Admin.

  4. Espandi Selettore di espansione il Sicurezza sezione.

  5. Per Admin Session Lifetime (seconds), immetti il numero di secondi in cui una sessione rimane attiva prima del timeout.

    Configurazione avanzata - Impostazioni di protezione amministratore {width="600" modal="regular"}

  6. Al termine, fai clic su Save Config.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1