<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div style="-webkit-text-size-adjust: auto;">Hello,</div><div style="-webkit-text-size-adjust: auto;"><br></div><div><span style="-webkit-text-size-adjust: auto;">A few years ago Joe Armstrong kicked off a wonderful discussion of web authentication on erlang-questions. </span><i style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Thu Jul 7 21:29:23 CEST 2011. </i><span style="background-color: rgba(255, 255, 255, 0);">Fred Hébert contributed an outstanding Quick Guide. </span><i style="background-color: rgba(255, 255, 255, 0);">Thu Jul 7 22:04:58 CEST 2011.</i><span style="background-color: rgba(255, 255, 255, 0);"> Now I'm near the scary point of having to write real code to manage secure sessions. I'd be much grateful if some kind soul could take a look at my outline below and point out, if any, the errors of my ways:</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">CREATE CREDENTIALS</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">1. Log-in and session under SSL</span></div><div><span style="background-color: rgba(255, 255, 255, 0);">2. Encrypt and store password - considering </span>Hébert's erlpass for password management; DETS for credentials storage</div><div><br></div><div>SESSION MANAGEMENT </div><div><br></div><div>1. Limit number of log-in attempts; resume after time delay</div><div>2. Time-limited cookies to manage sessions</div><div>3. Session state - store in process or ETS?</div><div>4. Append unique tokens to forms</div><div><br></div><div>Are there better options for any step? Am I missing anything?</div><div><br></div><div><span style="background-color: rgba(255, 255, 255, 0);">Many thanks,</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">LRP</span></div><div><br><span style="-webkit-text-size-adjust: auto;">Sent from my iPad</span></div></body></html>