Sesje długotrwałe

Specyficznym przypadkiem sesji są tzw. sesje długotrwałe (ang. persistent logins), czyli opcja ?Zapamiętaj mnie?, umożliwiająca dostęp do serwisu bez ponownego logowania przy następnej wizycie. Należy jasno podkreślić, że funkcjonalność ta - mimo całej swej użyteczności i wygody dla użytkowników - stanowi zawsze słaby punkt w ochronie sesji użytkownika. Atakujący siłą rzeczy zyskuje wtedy o wiele, wiele więcej czasu. Dlatego opcję to stosujmy tylko i wyłącznie wtedy, kiedy jest to absolutnie konieczne. Pamiętajmy, aby nigdy, ale to nigdy, nie przechowywać w cookie żadnych danych użytkownika jak login, e-mail, hasło lub cokolwiek innego. W cookie zapisujmy tylko specjalny token (służący rozpoznaniu i automatycznemu zalogowaniu użytkownika), który będzie regenerowany lub usuwany przy każdej kolejnej wizycie. Ustawmy także ograniczenie czasowe (np. jeden miesiąc), po którym token ten straci ważność. Oczywiście nie zastąpi to standardowej kontroli sesji opisanej wcześniej, ale zawsze stanowi dodatkowe zabezpieczenie.