Gestione delle sessioni

La gestione delle sessioni è una best practice DoS (Anti-Denial of Service) per la sicurezza API. Una sessione rappresenta il tempo che un visitatore trascorre sul sito e non è correlata al tempo in cui gli utenti amministratore o i clienti hanno effettuato l’accesso ai loro account.

Una sessione è una sequenza di transazioni di richiesta HTTP e risposta di rete associate allo stesso utente. È un modo per associare un client (amministratore) ai propri dati quando accedono al server. Le sessioni vengono utilizzate per stabilire variabili, come i diritti di accesso e le impostazioni di localizzazione, che si applicano a ogni interazione di un utente con un’applicazione web durante la sessione.

Dimensione sessione

Utilizza le seguenti impostazioni di configurazione per limitare la dimensione massima della sessione per gli utenti amministratori e i visitatori della vetrina:

  • Max Session Size in Admin - Limita la dimensione massima delle sessioni in byte. Usa 0 per disabilitare.
  • Max Session Size in Storefront - Limita la dimensione massima delle sessioni in byte. Usa 0 per disabilitare.
TIP
Entrambe le impostazioni sono misurate in byte e il valore predefinito è 256000 byte (o 256 KB).

Per configurare la dimensione massima della sessione:

  1. Nella barra laterale Admin, passa a Stores > Settings>Configuration.

  2. Nel pannello a sinistra, espandi Advanced e scegli System.

  3. Espandere Selettore di espansione nella sezione Security per accedere alle impostazioni della sessione.

    Impostazioni sessione {width="600" modal="regular"}

  4. Immettere le nuove dimensioni di sessione in byte.

    note warning
    WARNING
    L’impostazione di un valore troppo basso può causare problemi. Se si imposta una delle opzioni sotto il valore predefinito di 256000 byte, verrà visualizzato un messaggio di avviso. Se si fa clic su No, il sistema modifica il valore in 256000.
  5. Fare clic su Save Config.

Sessioni di amministrazione

Se si supera la dimensione massima della sessione, viene visualizzato un messaggio di errore e il sistema registra il vincolo della dimensione della sessione nella directory var/log.

Se perdi l’accesso all’amministratore dopo aver impostato le dimensioni della sessione troppo basse, utilizza CLI per reimpostare la configurazione:

bin/magento config:set system/security/max_session_size_admin 256000

Sessioni vetrina

Se si supera la dimensione massima della sessione, non viene visualizzato alcun errore ma il sistema registra il vincolo della dimensione della sessione nella directory var/log.

Convalida della sessione

Adobe Commerce e Magento Open Source consentono di convalidare le variabili di sessione come misura protettiva contro possibili attacchi di fissazione delle sessioni o tentativi di avvelenare o dirottare le sessioni degli utenti. Le impostazioni di convalida della sessione determinano il modo in cui le variabili di sessione vengono convalidate durante ogni visita dello store e se l’ID sessione è incluso nell’URL dello store.

Per informazioni tecniche, vedere Utilizzare Redis per l'archiviazione della sessione nella Guida alla configurazione.

Configurazione generale - Convalida sessione Web

La convalida verifica che i visitatori siano quello che dicono di essere confrontando il valore nelle variabili di convalida con i dati della sessione memorizzati nei dati $_SESSION per l'utente. La convalida non riesce se l’informazione non viene trasmessa come previsto e la variabile corrispondente è vuota. A seconda delle impostazioni di convalida della sessione, se una variabile di sessione non supera il processo di convalida, la sessione client viene terminata immediatamente.

L’abilitazione di tutte le variabili di convalida può contribuire a prevenire gli attacchi, ma potrebbe anche influire sulle prestazioni del server. Per impostazione predefinita, la convalida di tutte le variabili di sessione è disabilitata. È consigliabile sperimentare le impostazioni per trovare la combinazione ottimale per l’installazione di Adobe Commerce o di Magento Open Source. L'attivazione di tutte le variabili di convalida potrebbe rivelarsi eccessivamente restrittiva e potrebbe impedire l'accesso ai clienti con connessioni Internet che passano attraverso un server proxy o provengono da un firewall. Per ulteriori informazioni sulle variabili di sessione e sul loro utilizzo, consulta la documentazione di amministrazione del sistema Linux®.

Per configurare la convalida della sessione:

  1. Nella barra laterale Admin, passa a Stores > Settings>Configuration.

  2. Nel pannello a sinistra, espandi General ​e scegli Web.

  3. Espandere Il selettore di espansione nella sezione Session Validation Settings.

  4. Imposta ciascuna delle opzioni di configurazione:

    • Validate REMOTE_ADDR — Imposta su Yes per verificare che l'indirizzo IP di una richiesta corrisponda a quello archiviato nella variabile $_SESSION.

    • Validate HTTP_VIA — Imposta su Yes per verificare che l'indirizzo proxy di una richiesta in ingresso corrisponda a quello archiviato nella variabile $_SESSION.

    • Validate HTTP_X_FORWARDED_FOR — Imposta su Yes per verificare che l'indirizzo inoltrato di una richiesta corrisponda a quello memorizzato nella variabile $_SESSION.

    • Validate HTTP_USER_AGENT — Imposta su Yes per verificare che il browser o il dispositivo utilizzato per accedere all'archivio durante una sessione corrisponda a quello memorizzato nella variabile $_SESSION.

  5. Al termine, fare clic su Save Config.

Durata della sessione di amministrazione

Come misura di sicurezza, Admin è inizialmente impostato per il timeout dopo 900 secondi (15 minuti) di inattività della tastiera. Puoi regolare la durata della sessione in base al tuo stile di lavoro.

Per regolare la durata della sessione di amministrazione:

  1. Nella barra laterale Admin, passa a Stores > Settings>Configuration.

  2. Scorri verso il basso ed espandi Advanced nel pannello laterale sinistro.

  3. Fare clic su Admin.

  4. Espandere Il selettore di espansione nella sezione Security.

  5. Per Admin Session Lifetime (seconds), immettere il numero di secondi in cui una sessione rimane attiva prima del timeout.

    Configurazione avanzata - Impostazioni di protezione amministratore {width="600" modal="regular"}

  6. Al termine, fare clic su Save Config.## Durata sessione amministratore

Come misura di sicurezza, Admin è inizialmente impostato per il timeout dopo 900 secondi (15 minuti) di inattività della tastiera. Puoi regolare la durata della sessione in base al tuo stile di lavoro.

Per regolare la durata della sessione di amministrazione:

  1. Nella barra laterale Admin, passa a Stores > Settings>Configuration.

  2. Scorri verso il basso ed espandi Advanced nel pannello laterale sinistro.

  3. Fare clic su Admin.

  4. Espandere Selettore di espansione nella sezione Sicurezza.

  5. Per Admin Session Lifetime (seconds), immettere il numero di secondi in cui una sessione rimane attiva prima del timeout.

    Configurazione avanzata - Impostazioni di protezione amministratore {width="600" modal="regular"}

  6. Al termine, fare clic su Save Config.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1