Ho letto attentamente OWASP, ma non sono sicuro di alcune parti del mio sito web.
-
Sto usando jbcrypt sul mio sito web. Memorizza il sale nell'hash stesso qualcosa come questo hash + sale. Ho letto da qualche parte che dovrei memorizzare il sale su un altro database altrimenti sarei vulnerabile di nuovo con le tabelle del rainbow.
-
Il mio framework è molto nuovo (Play! framework 2.x) e devo fare un po 'di gestione dei cookie. La struttura offre sessioni autografate. Tuttavia quelle "sessioni" non sono sessioni, sono solo SessionCookie. Inoltre ho dovuto firmare i cookie da solo.
Il cookie di sessione scompare dopo che l'utente chiude il browser e ho bisogno di una soluzione più permanente.
Che cosa ho fatto:
Se l'utente accede correttamente:
- Creo una stringa casuale e inserisco la mia cache
randomstring -> user - Ho cancellato la stringa casuale e l'ho inserita in un cookie.
- Ora se l'utente ha un cookie valido, creerò una "sessione" dal cookie.
Non sono sicuro al 100% se questo è corretto, ma questo è quello che pensavo sarebbe stato corretto.
Ressource: Questo approccio per proteggere i cookie è sicuro? e www.OWASP.com
- Ora questa parte potrebbe essere pericolosa. Ho un file di configurazione nel mio codice sorgente - > Tutte le password sono memorizzate nello stesso posto.
Non sono riuscito a trovare nulla a riguardo. Dove devo archiviare credenziali come AWS-credential, password db, password di posta ...?