Domande con tag 'cookies'

domande con tag
1
risposta

La protezione CSRF è necessaria per le richieste GET

Ho un'API REST che consente agli utenti autenticati di leggere i dati sul proprio account e apportare modifiche ai propri account. Per l'autenticazione, utilizzo JWT memorizzati come cookie httpOnly. Per proteggersi dagli attacchi CSRF, l'API RE...
posta 17.08.2018 - 17:06
1
risposta

Doppio invio domande sull'implementazione dei cookie

Ho letto la domanda Double Submit Cookies e mentre risponde un sacco di domande sono ancora un po 'confuso. Ho dato un'occhiata a questo repo: link Il riepilogo di questa implementazione è che nella richiesta autenticata inviano un tok...
posta 12.10.2017 - 19:47
2
risposte

Ricordami contro sessione persistente per applicazioni web

Questa domanda ha lo scopo di raccogliere informazioni su quali siano i vantaggi / svantaggi specifici della sicurezza nell'utilizzare una funzione "ricordami" per un sito Web online basandosi su sessioni rispetto a rendere la sessione persisten...
posta 28.06.2016 - 14:53
1
risposta

Quali sono i rischi di consentire la memorizzazione di cookie persistenti sul tuo sistema?

Di solito, i rischi dei cookie persistenti sono descritti dal punto di vista del sito, non dell'utente: se si implementano cookie permanenti, la probabilità che qualcuno rubi un cookie e utilizzarlo per accedere al proprio sito senza una corrett...
posta 03.12.2015 - 13:47
2
risposte

Impedisci il dirottamento della sessione, laddove un utente malintenzionato ruba fisicamente l'ID della sessione (cookie) dal browser

Considera un caso, in cui un utente malintenzionato ha accesso fisico al computer dell'utente per 20-30 secondi. L'utente malintenzionato può utilizzare questo tempo per rubare i cookie dell'utente (ad esempio utilizzando il plug-in EditThisCoo...
posta 02.03.2016 - 08:49
1
risposta

Richieste server proxy inoltrate + inoltro delle informazioni di autenticazione in modo sicuro

Utilizziamo PassportJS con un paio di server Node.js - Passport è solo una libreria che è famosa per l'autenticazione del server Node.js - ma abbiamo alcune domande su come utilizzare Passport con le richieste "proxy". La mia domanda principale...
posta 03.11.2015 - 02:30
2
risposte

La necessità di includere i domini in HST RFC

Sto cercando di capire la direttiva includeSubDomains nello standard HTTP Strict Transport Security. In particolare sezione 14.4 di RFC 6797 mi confondono. Il punto 2. dice The HTTP request sent to uxdhbpahpdsf.example.com will include...
posta 21.01.2015 - 13:04
1
risposta

Esiste una strong protezione contro CSRF eseguita dal server sames tramite XSS memorizzato?

Se disponiamo di un dominio con vulnerabilità XSS memorizzata. So che è già fondamentale! .. Ma, sto parlando di limitare il danno. L'hacker non può ottenere il cookie di sessione dell'amministratore, perché è contrassegnato come httponly e i...
posta 12.01.2015 - 11:59
1
risposta

In che modo un cookie non sicuro o non solo HTTP può influire sulla sicurezza di un sito Web HSTS?

Se un sito Web è in esecuzione su HSTS e sta impostando circa 20 cookie. Di questi 20 cookie 15 sono entrambi sicuri e solo per HTTP e il restante 5 non sono né l'uno né l'altro. In questo scenario, in che modo possiamo compromettere la sicurezz...
posta 30.09.2014 - 07:48
1
risposta

Sarebbe possibile utilizzare i cookie per archiviare il certificato client SSL?

Ultimamente, stavo leggendo quell'articolo sul certificato client SSL. Perché nessuno utilizza il certificato client SSL? La risposta era a quella domanda era: In the current state, this excellent idea is rendered completely usele...
posta 13.08.2014 - 03:22