Domande con tag 'cookies'

domande con tag
5
risposte

Protezione CSRF con ID sessione

Per proteggere contro CSRF, non è possibile che il mio javascript della pagina inserisca dinamicamente l'ID di sessione dal cookie nel corpo di ogni richiesta HTTP appena prima che venga inviato? Il server dovrebbe quindi semplicemente conval...
posta 14.05.2013 - 10:28
2
risposte

Perché i cookie sono considerati più sicuri contro XSS?

Questo articolo discute la memorizzazione dei token di sessione in un cookie vs in localStorage: link L'articolo afferma: Cookies, when used with the HttpOnly cookie flag, are not accessible through JavaScript, and are immune to XSS....
posta 09.03.2016 - 10:21
3
risposte

Ho bisogno del token CSRF se sto usando Bearer JWT?

Contesto : il sito angolare è ospitato su S3 dietro CloudFront, separato dal server Express utilizzato come API e quasi tutte le richieste sono XMLHttpRequests. Tutte le richieste vengono inviate senza cookie (con Credentials = false di default...
posta 29.09.2017 - 14:25
3
risposte

cookie CSRF vs token basati su sessione

Genererò un token CSRF e lo includerò in un campo modulo nascosto. Quando ricevo la richiesta, verificherò il valore del modulo rispetto al valore memorizzato nella sessione dell'utente o in un cookie. È ancora accettabile dal punto di vista...
posta 23.08.2012 - 16:16
4
risposte

Un cookie sicuro senza il flag HttpOnly è un problema?

Comprendo che i cookie con il flag di sicurezza devono essere trasmessi tramite una connessione HTTPS. Significa anche che questi cookie devono essere protetti dagli avversari (cookie privati). Pertanto, è importante impostare il flag HttpOnly s...
posta 11.04.2017 - 06:29
1
risposta

Quale crittografia impedisce la manomissione dei cookie FedAuth di Windows Identity Foundation (WIF)?

Mi è venuto in mente che i cookie di FedAuth WIF contengono informazioni di identità, che se manomesso, potrebbero consentire a qualcuno di assumere l'identità di un altro utente. Fortunatamente, WIF fa crittograficamente Autentica il messaggi...
posta 03.11.2011 - 05:33
4
risposte

Prevenire la webapp non sicura sul sottodominio compromette la sicurezza della webapp principale

Voglio il tuo aiuto per ottenere informazioni più concrete su un tipo di vulnerabilità che ricordo vagamente. Ricordo vagamente di aver sentito circa un anno fa che se si installa una webapp su un sottodominio e tale webapp viene compromessa,...
posta 18.11.2012 - 21:17
5
risposte

Cookie non sicuri a causa di Load Balancer

Dispongo di un servizio di bilanciamento del carico che termina le richieste https a http e pertanto i miei server di backend le vedono come http. Di conseguenza, tutti i miei cookie sono impostati senza un contrassegno sicuro quando si visualiz...
posta 14.03.2011 - 16:29
5
risposte

Che cosa fanno le varie "modalità private" del browser?

Recentemente c'è stato qualche disaccordo su cosa significa "modalità privata" quando si tratta di vari browser. Principalmente mi riferisco a ... IE "InPrivate Browsing" "Modalità di navigazione in incognito" di Google Chrome "Naviga...
posta 27.06.2012 - 22:01
1
risposta

I browser sono ancora vulnerabili alla cucina Cross-Site?

L' ultimo articolo che sono stato in grado di trovare su Cucina cross-site affermava che era possibile impostare cookie su domini di primo livello a 2 punti come .co.uk . The mechanism for preventing overly relaxed cookie domain spec...
posta 12.11.2010 - 18:12