Sessiebeheer

Sessiebeheer is een anti-ontkenning van de dienst (DoS) beste praktijken voor API veiligheid. Een sessie geeft aan hoeveel tijd een bezoeker aan uw site besteedt en heeft geen betrekking op hoe lang Admin-gebruikers of -klanten zijn aangemeld bij hun accounts.

Een sessie is een reeks HTTP-aanvraag- en responstransacties voor het netwerk die aan dezelfde gebruiker zijn gekoppeld. Dit is een manier om een client (Admin) aan de gegevens te koppelen wanneer deze toegang krijgen tot de server. Sessies worden gebruikt om variabelen tot stand te brengen, zoals toegangsrechten en lokalisatie-instellingen, die van toepassing zijn op elke interactie die een gebruiker tijdens de sessie met een webtoepassing heeft.

Sessieformaat

Gebruik de volgende configuratie-instellingen om de maximale sessiegrootte voor Admin-gebruikers en winkelbezoekers te beperken:

  • Max Session Size in Admin—Beperk de maximale sessiegrootte in bytes. Gebruiken 0 om uit te schakelen.
  • Max Session Size in Storefront—Beperk de maximale sessiegrootte in bytes. Gebruiken 0 om uit te schakelen.
TIP
Beide instellingen worden gemeten in bytes en standaard ingesteld op 256000 bytes (of 256 kB).

Maximale sessiegrootte configureren:

  1. Op de Beheerder zijbalk, ga naar Stores > Settings>Configuration.

  2. Vouw in het linkerdeelvenster uit Advanced en kiest u System.

  3. Uitbreiden Expansiekiezer de Security voor toegang tot de sessie-instellingen.

    Sessieinstellingen {width="600" modal="regular"}

  4. Voer nieuwe sessiegrootten in bytes in.

    note warning
    WARNING
    Als u de waarde te laag instelt, kunnen er problemen optreden. Als u een van de opties onder de standaardwaarde van 256000 bytes instelt, wordt een waarschuwingsbericht weergegeven. Als u op No wordt de waarde in 256000.
  5. Klik op Save Config.

Admin-sessies

Als u de maximale sessiegrootte overschrijdt, wordt een foutbericht weergegeven en wordt de beperking van de sessiegrootte door het systeem geregistreerd voor de var/log directory.

Als u toegang tot Admin verliest nadat het plaatsen van de zittingsgrootte aan laag, gebruik CLI om de configuratie terug te stellen:

bin/magento config:set system/security/max_session_size_admin 256000

Storefront-sessies

Als u de maximale sessiegrootte overschrijdt, wordt geen foutmelding weergegeven, maar wordt de sessiegrootte door het systeem geregistreerd voor de var/log directory.

Sessievalidatie

Met Adobe Commerce en Magento Open Source kunt u sessievariabelen valideren als een beschermende maatregel tegen mogelijke aanvallen van sessiefixatie of pogingen om gebruikerssessies te vergiftigen of te kapen. De instellingen voor sessievalidering bepalen hoe sessievariabelen worden gevalideerd tijdens elk bezoek in de winkel en of de sessie-id is opgenomen in de URL van de winkel.

Voor technische informatie, zie Redis gebruiken voor sessieopslag in de Configuratiegids.

Algemene configuratie - de zittingsbevestiging van het Web

De validatie controleert of bezoekers zeggen dat ze dat zijn door de waarde in de validatievariabelen te vergelijken met de sessiegegevens die worden opgeslagen in $_SESSION gegevens voor de gebruiker. Validatie mislukt als de informatie niet naar behoren wordt verzonden en de bijbehorende variabele leeg is. Als een sessievariabele het validatieproces mislukt, wordt de clientsessie onmiddellijk beëindigd, afhankelijk van de instellingen voor sessievalidatie.

Het toelaten van alle bevestigingsvariabelen kan aanvallen helpen verhinderen, maar zou ook de prestaties van de server kunnen beïnvloeden. Standaard is alle validatie van sessievariabelen uitgeschakeld. We raden u aan met de instellingen te experimenteren om de beste combinatie te vinden voor de installatie van uw Adobe Commerce of Magento Open Source. Het activeren van alle validatievariabelen kan onnodig beperkend zijn en kan toegang tot klanten verhinderen die de verbindingen van Internet hebben die door een volmachtsserver overgaan of van achter een firewall voortkomen. Raadpleeg de documentatie over systeembeheer voor uw Linux®-systeem voor meer informatie over sessievariabelen en het gebruik ervan.

De sessievalidatie configureren:

  1. Op de Beheerder zijbalk, ga naar Stores > Settings>Configuration.

  2. Vouw in het linkerdeelvenster uit General ​en kiest u Web.

  3. Uitbreiden Expansiekiezer de Session Validation Settings sectie.

  4. Stel elk van de configuratieopties in:

    • Validate REMOTE_ADDR — Instellen op Yes om te verifiëren dat het IP adres van een verzoek aanpast wat in wordt opgeslagen $_SESSION variabele.

    • Validate HTTP_VIA — Instellen op Yes om te verifiëren dat het volmachtsadres van een inkomend verzoek aanpast wat in wordt opgeslagen $_SESSION variabele.

    • Validate HTTP_X_FORWARDED_FOR — Instellen op Yes om te verifiëren dat door:sturen-voor adres van een verzoek aanpast wat in wordt opgeslagen $_SESSION variabele.

    • Validate HTTP_USER_AGENT — Instellen op Yes om te controleren of de browser of het apparaat waarmee de winkel tijdens een sessie wordt geopend, overeenkomt met de inhoud in het dialoogvenster $_SESSION variabele.

  5. Klik op Save Config.

Levensduur beheersessie

Als beveiligingsmaatregel Beheerder wordt ingesteld op time-out na 900 seconden (15 minuten) inactiviteit op het toetsenbord. U kunt de levensduur van de sessie aanpassen aan uw werkstijl.

De levensduur van de beheersessie aanpassen:

  1. Op de Beheerder zijbalk, ga naar Stores > Settings>Configuration.

  2. Omlaag schuiven en uitbreiden Advanced in het linkerzijpaneel.

  3. Klik op Admin.

  4. Uitbreiden Expansiekiezer de Security ​sectie.

  5. Voor Admin Session Lifetime (seconds), voert u het aantal seconden in dat een sessie actief blijft voordat deze wordt beëindigd.

    Geavanceerde configuratie - Beveiligingsinstellingen voor beheer {width="600" modal="regular"}

  6. Klik op Save Config.## Tijdens Admin-sessie

Als beveiligingsmaatregel Beheerder wordt ingesteld op time-out na 900 seconden (15 minuten) inactiviteit op het toetsenbord. U kunt de levensduur van de sessie aanpassen aan uw werkstijl.

De levensduur van de beheersessie aanpassen:

  1. Op de Beheerder zijbalk, ga naar Stores > Settings>Configuration.

  2. Omlaag schuiven en uitbreiden Advanced in het linkerzijpaneel.

  3. Klik op Admin.

  4. Uitbreiden Expansiekiezer de Beveiliging sectie.

  5. Voor Admin Session Lifetime (seconds), voert u het aantal seconden in dat een sessie actief blijft voordat deze wordt beëindigd.

    Geavanceerde configuratie - Beveiligingsinstellingen voor beheer {width="600" modal="regular"}

  6. Klik op Save Config.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1