Domande con tag 'cookies'

domande con tag
1
risposta

HeartBleed - come posso invalidare tutti i cookie di sessione?

Come parte dell'evento Heartbleed, ho aggiornato OpenSSL, riemesso e sostituito i certificati e revocato quelli vecchi e ho cambiato le password, tuttavia, sto anche consultando i consigli per invalidare tutti i cookie di sessione ( link ) ma no...
posta 10.04.2014 - 00:13
2
risposte

Cookie HTTPOnly: la sicurezza dipende dalla collaborazione con i clienti?

Ho implementato la gestione delle sessioni HTTPOnly basata sui cookie e ho alcune domande su cosa HTTP . Mi rendo conto che è una bandiera che viene passata nell'intestazione HTTP quando si impostano i cookie. Mi rendo anche conto che la ma...
posta 18.02.2013 - 02:54
1
risposta

Se ho un certificato valido per xxxxx.github.com, non posso leggere i cookie di * .github.com?

Rif: Come faccio a segnalare una vulnerabilità di sicurezza relativa a un'autorità di certificazione attendibile? Questa domanda comportava una grave vulnerabilità di sicurezza in WoSign. Ecco il blog del finder: link Citando una pa...
posta 26.11.2018 - 19:35
1
risposta

Interruzione del dirottamento della sessione

Se hai notato, ho messo "stop" invece di "impedire" nel titolo perché voglio che la mia applicazione PHP sia il più sicura possibile. Mi chiedo se qualcuno ha modi migliori per prevenire il dirottamento di sessione, quindi quello che ho già. Vor...
posta 18.11.2012 - 03:19
2
risposte

Il fattore 2 di Google "Ricorda questo computer" è protetto contro gli avversari con accesso root?

Questa domanda riguarda il tipo di autenticazione a 2 fattori implementata da Google Account. La risposta a questa domanda descrive la sicurezza del trasferimento della chiave segreta tramite un cookie sicuro. Ma cosa succede se l'avvers...
posta 16.08.2015 - 10:43
1
risposta

Condivisione della chiave pubblica RSA per la decodifica del JWT tra i server Load Balanced

Sto cercando di implementare un meccanismo di autenticazione senza cookie per un'API Web che è stateless sul server (non memorizza i token di sessione) e può essere bilanciato su più server. Ho implementato un JWT che viene restituito a un cl...
posta 13.10.2014 - 21:27
1
risposta

estraendo JSESSIONID da document.cookie

Stavo cercando di rubare i cookie su un'applicazione web basata su Java e Spring. Normalmente, un cookie può essere ottenuto tramite <script>alert(document.cookie)</script> , ma nel codice precedente, il cookie non viene avvisato...
posta 20.10.2014 - 14:15
3
risposte

cookie Flash e man-in-the-middle

Sto usando il framework web di Scala Play. In esso, c'è un cookie PLAY_FLASH utilizzato per inviare messaggi all'utente (è un cookie, quindi funzionerà anche dopo diversi reindirizzamenti). Metto HTML nel cookie in modo da poter includere col...
posta 15.08.2014 - 07:57
2
risposte

Sono questi due modi sicuri?

Ho due scenari e voglio sapere se ognuno è sicuro o quale rischio ci sono. Numero uno: Se l'utente ha il link di modifica (modifica / [md5hash]) può modificare un post. Il tasto edit (l'hash) si trova in un campo nascosto per indicare al...
posta 02.05.2013 - 00:44
2
risposte

Autenticazione basata su token sotto http

Sto facendo un'autenticazione basata su token ma ho riscontrato alcuni problemi di sicurezza. Nel sistema, un utente accederà come segue: Digitare nome utente e password per accedere in una pagina di accesso https Se l'accesso è riuscito,...
posta 03.12.2013 - 07:34