Domande con tag 'cookies'

domande con tag
2
risposte

La possibilità per un utente di scegliere il valore di un cookie di identificazione di sessione costituisce un difetto di sicurezza?

Nel contesto di un'applicazione Web, un utente si connette a questa applicazione e un cookie ID sessione è impostato per autenticare l'utente per le richieste successive. Poiché il cookie è effettivamente presente prima di inviare il modulo di a...
posta 30.04.2013 - 11:10
2
risposte

Archivia in modo sicuro i dati di sessione nei cookie

Sto provando a creare un'architettura di server delle applicazioni stateless e vorrei memorizzare i dati di sessione nei cookie. Tutte le pagine che utilizzano la sessione verranno pubblicate su HTTPS. Stavo pensando di utilizzare AES256 per gar...
posta 08.08.2015 - 05:51
1
risposta

Firma i cookie di sessione

Play Framework per Scala supporta i cookie di sessione firmati. Nel file di configurazione dell'applicazione è presente un "segreto dell'applicazione" che viene impostato come numero casuale sicuro quando il codice sorgente dell'applicazione vie...
posta 27.12.2013 - 15:14
1
risposta

È possibile utilizzare HPKP per tenere traccia degli utenti?

Esiste già una vasta gamma di "supercookies" e metodi di fingerprinting del browser. Mi chiedo se HPKP offra ancora un altro metodo per tracciare gli utenti? Un server potrebbe inviare una chiave di backup extra che non è destinata a essere u...
posta 08.06.2016 - 12:56
2
risposte

Devo cancellare regolarmente i cookie?

I cookie rendono davvero un'esperienza migliore sul Web, ma creano anche una vulnerabilità? Quante volte dovrei pulirli e quali benefici si ottengono facendo così?     
posta 22.08.2015 - 15:43
1
risposta

Invio del cookie di sessione all'interno del corpo della risposta HTTP

È noto che la pratica sicura di impostare un cookie di sessione utilizza Set-Cookie header con Secure e HttpOnly flags. Ma ci sono problemi di sicurezza con l'invio di cookie all'interno del corpo di risposta HTTP (e richiesta)? A...
posta 26.09.2016 - 16:04
2
risposte

http_only per i cookie con token JWT

Sto cercando di capire come usare i JWT che vengono trasmessi nei cookies per una SPA. Deve essere nei cookie perché vogliamo che le richieste non-jax inviino anche il jwt, e dovrebbe "funzionare" per tutti sottodomini. Ho il cookie con il token...
posta 06.08.2015 - 22:23
1
risposta

API che non consente di invalidare la sessione sul lato server - come renderla più sicura?

Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout che renderà invalido il cookie che la mia app utilizza da ora in poi. Quindi vedo che se un hack...
posta 17.07.2015 - 15:56
2
risposte

attacco anti-replay per i cookie sicuri?

Nel sistema su cui sto lavorando, stiamo avendo alcuni cookie di sessione sul lato client che dobbiamo proteggere dall'attacco di replay! Quindi trovo il seguente articolo link da questa domanda Cookie di sessione sicura . Mi piace molto il m...
posta 13.09.2013 - 14:58
2
risposte

C'è qualche vantaggio per la sicurezza di non usare i cookie?

Stavo leggendo come il famigerato TorMail aveva una modalità legacy che permetteva di usare il proprio servizio di posta elettronica senza cookie. L'articolo implicava che lo facessero per problemi di privacy per gli utenti finali. Da quello che...
posta 04.04.2017 - 02:51